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本 书 从 基础 人手 ， 以 一 个 大 型 网 络 建设 为 主线 ， 系 统 地 介绍 了 一 个 园 
区 网 络 规划 、 设 计 与 实施 的 原理 、 方 法 、 技 术 和 管理 。 本 书 首先 介绍 了 一 
个 大 型 园区 网 络 的 基本 原理 、 基 本 概念 和 关键 要 素 及 设计 方法 。 然 后 分 音 
六 、 较 全 面 、 系 统 地 介绍 了 网 络 互 连 设备 、 服 务 需 与 存储 技术 、 网 络 安全 
原理 与 技术 、 综 合 布线 系统 、 网 络 机 房 与 数据 中 心 和 网 络 管理 的 设计 方法 
与 关键 技术 。 本 书 涵 盖 了 一 个 大 型 网 络 规划 、 设 计 的 全 过 程 。 作 者 结合 
年 从 事 网 络 规划 设计 与 管理 的 实践 经 验 ， 为 读者 提供 了 一 个 完整 的 大 型 园 
区 网 络 设计 方法 和 当前 流行 的 技术 案例 ， 涵 盖 一 个 大 型 园区 网 络 的 网 络 设 
备 、 综 合 布线 系统 、 机 房 建设 、 服 务 右 与 存储 系统 、 网 络 管理 与 安全 等 主 
要 内 容 。 

本 书 内 容 通 俗 易 届 ， 结 构 清 晰 、 实 例 直 富 、 实 用 性 强 。 本 书 适合 高 等 
院 校 计算 机 科学 与 技术 、 网 络 工程 、 信 息 安全 、 软 件 工程 等 专业 的 学 生 使 
用 ， 也 适合 作为 网 络 工程 人 员 的 自学 教材 和 培训 教材 ， 特 别 适合 作为 网 络 
工程 技术 人 员 和 网 络 管理 人 员 的 工程 实践 指导 书 。 
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据 中 国 互联 网 络 信息 中 心 (CNNIC) 2013 年 7 月 17 日 在 京 发 布 的 第 32 次 《中 国 互 联 
网 络 发 展 状况 统计 报告 》 显 示 : 截至 2013 年 6 月 底 ， 我 国 网 民 规 模 达 到 5. 91 亿 ， 互 联网 普 
及 率 为 44. 1% 。 在 今年 上 半年 的 互联 网 发 展 中 ， 手 机 作为 上 网 终端 的 表现 抢眼 ， 不 仅 成 为 
新 增 网 民 的 重要 来 源 ， 在 即时 通信 、 电 子 商 务 等 网 络 应 用 中 均 有 良好 的 表现 。 进 入 21 世纪 
以 来 ， 近 10 年 时 间 ， 我国 网 络 产 业 的 发 展 十 分 迅猛 ， 华 为 、 中 兴 、 锐 捷 等 知名 网 络 厂商 推 
动 了 网 络 产 业 的 迅猛 发 展 。 中 国信 然 是 一 个 网 络 大 国 ， 国 家 层面 上 推动 物 联网 产业 、 云 计算 
产业 的 发 展 ， 基 础 网 络 设 施 的 建设 变 得 十 分 重要 。 行业 的 发 展 热 漳 势必 众生 了 网 络 基础 设施 
建设 的 高 潮 ， 对 网 络 工程 行业 的 人 才 需 求 也 变 得 旺盛 。 

何 为 一 个 大 型 园区 网 络 ， 并 没有 一 个 严格 的 定义 。 人 们 经 常 讨论 的 大 型 园区 网 络 ， 通常 
是 指 这 个 网 络 所 服务 的 用 户 数 、 信 息 点 数 、 网 络 设 备 台 套数 等 。 如 一 所 大 学 ,拥有 人 数 两 三 
万 人 ， 这 所 大 学 只 有 一 个 网 络 出 口 ， 那 么 这 所 大 学 所 建设 的 园区 网 络 履 盖 到 全 校 100 多 栋 建 
筑 物 ， 构 成 了 这 所 大 学 的 局 域 网 ， 这 个 局 域 网 通常 称 为 校园 网 。 校 园 网 拥有 网 络 核心 与 数据 
中 心机 房 ， 拥 有 中 心机 房 至 全 校 各 单 体 建筑 的 主干 光缆 ， 每 栋 楼 宇都 有 黎 盖 各 单 体 办 公 室 的 
双 绞 线 绕 ， 每 栋 楼 宇 的 弱电 间 都 有 网 络 交 换 机 ， 数 据 中 心机 房 拥 有 多 台 服 务 右 和 存储 系统 
等 。 这 些 关键 要 素 就 构成 了 一 个 大 型 园区 网 络 。 

如 何 设计 一 个 大 型 园区 网 络 呢 ? 业界 很 多 企业 、 厂 商 、 专 家 、 学 者 都 提出 了 很 多 解决 方 
案 ， 如 知名 网 络 厂商 推出 的 交换 、 路 由 方案 。 实 际 上 ， 一 个 大 型 园区 网 络 的 规划 、 设 计 与 建 
设 是 一 个 系统 工程 。 从 系统 论 的 角度 ， 可 以 把 它 分 解 为 几 大 块 : 第 一 ， 一 个 以 网 络 设备 为 主 
的 网 络 解决 方案 ; 第 二 ， 一 个 网 络 与 数据 中 心机 房 建设 方案 ; 第 三 ， 一 个 与 网 络 解决 方案 相 
匹配 的 综合 布线 系统 解决 方案 ; 第 四 ， 一 个 完备 的 网 络 管理 与 网 络 安全 解决 方案 。 可 以 把 这 
四 个 关键 的 解决 方案 及 其 实践 ， 归 结 为 网 络 基 础 设施 的 建设 。 本 书 系统 性 地 以 一 个 大 型 网 络 
建设 为 主线 ， 介 绍 了 一 个 园区 网 络 规划 、 设 计 与 实施 的 原理 、 方 法 、 技 术 和 管理 。 

本 书 的 作者 结合 多 年 从 事 网 络 规划 设计 与 管理 的 实践 经 验 ， 为 读者 提供 一 个 完整 的 大 型 
园区 网 络 设计 方法 和 当前 流行 的 技术 案例 ， 涵 盖 一 个 大 型 园区 网 络 的 网 络 设备 、 综 合 布线 系 
统 、 机 房 建设 、 服 务 需 与 存储 系统 、 网 络 管理 与 安全 等 主要 内 容 。 业 界 不 断 推出 新 的 产品 、 
新 的 解决 方案 ， 推 陈 出 新 ， 内 容 繁 杂 。 作 者 从 基础 层面 着 手 ， 抓 住 主要 的 要 素 ， 由 浅 入 深 地 
介绍 一 些 解决 方案 。 本 书 最 大 的 特点 是 实用 性 强 ， 基 本 上 围绕 实践 层面 ， 从 解决 问题 人 手 。 
这 些 方 案 可 以 供 读者 理解 如 何 规划 一 个 大 型 园区 网 络 ， 如 何以 最 快捷 、 最 实用 的 方式 构建 一 
个 大 型 网 络 。 本 书 也 有 部 分 理论 基础 ， 以 方便 读者 理解 掌握 。 

本 书 共 分 为 8 章 ， 各 章 的 主要 内 容 如 下 : 

第 1 章 园区 网 络 工程 概述 。 主 要 介绍 了 计算 机 网 络 的 基本 组 成 、 功 能 、 局 域 网 的 基础 
知识 。 对 一 个 大 型 园区 网 络 规划 与 设计 的 要 素 进行 了 介绍 ， 并 介绍 网 络 逻 辑 设计 、 物 理 设 
计 、 网 络 弱 电工 程 设计 的 一 些 基 本 概念 和 方法 。 

第 2 章 网 络 互 连 设备 。 主 要 介绍 了 网 络 互 连 的 基本 概念 和 常用 的 网 络 设备 ， 重 点 介绍 
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了 交换 机 和 路 由 带 的 构造 、 基 本 原理 和 性 能 指标 。 

第 3 章 数据 中 心服 务 需 与 存储 技术 。 主 要 介绍 了 服务 器 与 存储 系统 的 设备 特点 、 构 
造 、 板 卡 、 性 能 指标 ， 给 出 了 一 些 存储 系统 的 解决 方案 。 

第 4 章 网 络 安全 技术 。 介 绍 了 网 络 安全 的 基本 概念 、 基 本 攻防 技术 、 给 出 了 网 络 防火 
墙 、 入 侵 检测 、 入 侵 防 御 系 统 等 关键 安全 设备 的 解决 方案 。 

第 5 章 ”综合 布线 系统 。 主 要 介绍 了 综合 布线 系统 的 规划 、 设 计 与 施工 技术 。 

第 6 章 网 络 核心 机 房 建设 。 主 要 以 一 个 网 络 核心 机 房 与 数据 中 心机 房 建设 案例 为 主 ， 
阐述 了 网 络 机 房 建 设 的 一 些 关键 要 素 。 

第 7 章 网 络 管理 。 主 要 介绍 了 网 络 管理 的 基本 概念 、 基 本 原理 和 常用 的 网 络 管理 手 
段 。 

第 8 章 ”大 型 园区 网 络 规划 与 设计 案例 。 主 要 以 高 校 校园 网 络 建设 为 案例 ， 介 绍 了 园区 
网 络 规 划 与 设计 的 基本 方法 。 

本 书 内容 通 俗 易 懂 、 结 构 清 晰 、 实 例 直 富 、 实 用 性 强 。 本 书 适合 高 等 院 校 计算 机 科学 与 
技术 、 网 络 工程 、 信 息 安全 、 软 件 工程 、 智 能 建筑 弱电 工程 等 专业 的 学 生 使 用 ， 也 适合 作为 
网 络 工 程 人 员 的 自学 教材 和 培训 教材 ， 特 别 适 合 于 作为 网 络 工程 技术 人 员 和 网 络 管理 人 员 的 
工程 实践 指导 书 。 

本 书 在 编写 过 程 中 参考 了 国内 外 知名 企业 、 厂 商 提 出 的 一 些 经 典 的 解决 方案 和 产品 资 
料 ， 也 参考 了 国内 同仁 编写 的 专车、 教材 的 新 成 果 、 新 知识 ， 在 此 一 并 表示 感谢 。 

本 书 的 写作 得 到 了 张 荔 、 孙 绪 华 、 宋 军 、 李 勇 振 、 王 东 亮 、 件 综 帮 等 的 大 力 帮 助 和 文 
持 ， 他 们 参与 编写 了 部 分 内 容 ， 在 此 表示 感谢 。 

网 络 是 一 个 复杂 系统 。 本 书 内 容 较 为 全 面 ， 但 限于 篇 幅 和 章节 ， 很 多 内 容 并 未 深入 阐述 
清楚 ， 再 限于 作者 水 平 有 限 ， 书 中 难免 存在 很 多 错误 和 不 完善 的 地 方 ， 敬 请 读者 批评 指正 。 
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第 1 章 园区 网 络 工程 概述 


1.1 计算 机 网 络 概述 


1.1.1 计算 机 网 络 的 定义 


在 计算 机 网 络 发 展 过 程 的 不 同 阶段 中 ， 人 们 对 计算 机 网 络 提出 了 不 同 的 定义 ， 它 反映 了 
当时 网 络 技术 发 展 的 水 平 ， 以 及 人 们 对 网 络 的 认识 程度 。 计 算 机 和 通信 的 结合 对 于 计算 机 系 
统 的 组 织 方式 产生 了 深远 的 影响 。 把 一 台大 型 的 计算 机 放 在 一 个 单独 的 房间 中 ， 然 后 用 户 带 
着 他 们 的 人 处理 任务 去 房间 里 上 机 ， 
这 种 “计算 机 中 心 ” 的 概念 现在 已 
经 完全 过 时 了 。 由 一 台 计 算 机 来 处 
理 整 个 组 织 中 所 有 的 计算 需求 ， 这 
种 老式 的 模式 已 经 被 新 的 模型 所 取 
代 , 在 新 的 模型 下 ， 由 大 量 独 立 
的 、 但 相互 连接 起 来 的 计算 机 共同 
完成 计算 任务 。 这 些 系统 称 为 计算 
机 网 络 (Computer Networks ) 。 

计算 机 网 络 是 利用 通信 设备 和 
通信 线路 将 地 理 位 置 分 散 、 功 能 独 
立 的 多 台 计 算 机 和 由 计算 机 控制 的 
外 部 设备 连接 起 来 ， 在 网 络 操作 系 图 1-1 计算 机 网 络 示 意图 
统 的 控制 下 ， 按 照 约定 的 通信 协议 
进行 信息 交换 ， 实 现 资 源 共享 的 系统 ， 如 图 1-1 所 示 。 


1.1.2 计算 机 网 络 的 功能 
计算 机 网 络 的 功能 主要 有 以 下 几 个 方面 : 


1. 信息 交换 

言 息 交 换 是 计算 机 网 络 最 基本 的 功能 ， 主 要 完成 网 络 中 各 个 节点 之 间 的 通信 。 计 算 机 网 
络 为 人 们 提供 了 快捷 地 与 他 人 进行 信息 交换 的 方式 。 人 们 可 以 在 网 上 收发 电子 邮件 ， 发 布 新 
闻 消 息 ， 进 行 电 话 会 议 、 电 子 商务 、 网 上 求职 、 娱 乐 聊 天 等 活动 。 

2. 资源 共享 

共享 的 资源 主要 是 指 计算 机 硬件 资源 、 软 件 资源 和 数据 资源 。 通 过 资源 共享 ， 可 使 网 络 
中 各 单位 的 资源 互通 ， 有 助 于 分 工 协作 ， 从 而 大 大 提高 系统 资源 的 利用 率 。 

(1) 硬件 共享 
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在 网 络 范 围 内 能 够 共享 的 硬件 资源 有 高 速 运算 器 、 大 容量 磁盘 、 打 印 机 、 绘 图 仪 、 高 性 
能 计算 机 等 。 如 图 1-2 所 示 ， 局 域 网 中 的 共享 打印 机 就 属于 硬件 共享 。 通 过 硬件 资源 的 共 
享 ， 可 以 提高 设备 的 利用 率 ， 避 免 重 复 投资 。 

(2) 软件 资源 主机 (服务 器 ) 

网 络 中 的 某 些 机 器 ， 特 别 是 一 些 
大 型 机 上 ， 装 有 各 种 功能 完善 的 软件 
资源 ， 如 大 型 有 限 元 结构 分 析 程 序 、 
专用 的 绘图 程序 等 。 用 户 可 以 通过 网 
络 登 录 到 远程 计算 机 上 去 使 用 这 些 软 
件 ， 也 可 以 从 网 络 上 下 载 某 些 程序 在 
本 地 机 上 使 用 ， 以 实现 软件 资源 的 共 
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ui 
el 


图 12 网 络 打 印 机 共享 示意 


(3) 信息 与 数据 
网 络 上 的 数据 库 和 各 种 文件 中 存储 有 大 量 的 信息 资源 ， 内 容 涉 及 和 科学、 技术、 商业 、 教 
育 、 医 学 、 气 象 等 各 个 方面 。 通 过 计算 机 网 络 ， 这 些 资源 可 以 供 世 界 各 地 的 人 们 查询 并 加 以 
利用 。 

3. 分 布 式 处 理 

分 布 式 处 理 系统 将 不 同 地 点 的 或 具有 不 同 功 能 的 多 台 计 算 机 用 通信 网 络 连接 起 来 ， 在 控 
制 系统 的 统一 管理 控制 下 ， 协 调 地 完成 信息 处 理 任务 。 这 种 协同 工作 、 并 行 处 理 要 比 单独 购 
置 高 性 能 的 大 型 计算 机 便宜 得 多 ， 而 且 可 以 充分 利用 网 络 资源 ， 均 衡 各 计算 机 的 负载 ， 从 而 
提高 处 理 问题 的 实时 性 。 

4. 数据 备份 

通过 计算 机 网 络 实现 备份 技术 ， 可 以 提高 计算 机 系统 的 可 靠 性 。 当 某 一 台 计 算 机 出 现 故 
障 时 ， 可 以 立即 由 计算 机 网 络 中 的 另 一 台 计 算 机 来 代替 其 完成 所 承担 的 任务 。 例 如 ， 空 中 交 
通 管 理 、 工 业 自 动 化 生产 线 、 军 事 防 御 系 统 、 电 力 供 应 系统 等 都 可 以 通过 计算 机 网 络 设置 ， 
以 保证 实时 性 管理 和 不 间断 运行 系统 的 安全 性 和 可 靠 性 。 


1.1.3 计算 机 网 络 的 分 类 


计算 机 网 络 可 以 从 不 同 的 角度 进行 分 类 ， 根 据 链 路 控制 技术 、 履 盖 的 地 理 范 围 、 网 络 折 
扑 结构 等 来 进行 分 类 ， 本 节 重 点 介绍 两 种 分 类 方法 及 相关 知识 。 

1. 根据 计算 机 网 络 覆 盖 的 地 理 范围 分 类 

按照 计算 机 网 络 所 覆盖 的 地 理 范 围 的 大 小 进行 分 类 ， 计算 机 网 络 可 分 为 : 局 域 网 、 城 域 
网 和 广域网 。 了 解 一 个 计算 机 网 络 所 覆盖 的 地 理 范围 的 大 小 ， 可 以 使 人 们 能 一 目 了 然 地 了 解 
该 网 络 的 规模 和 主要 技术 。 

局 域 网 (LAN) 的 黎 兰 范围 一 般 在 方圆 几 十 米 到 几 公 里 。 典 型 的 是 一 个 办 公 室 、 一 个 
办 公 楼 、 一 个 企业 或 一 个 园区 的 范围 内 的 网 络 。 如 一 所 大 学 的 校园 网 络 ， 是 典型 的 一 个 规模 
比较 大 的 园区 网 络 。 

当 网 络 的 履 产 范 围 达到 一 个 城市 的 大 小 时 ， 被 称 为 城 域 网 。 网 络 履 产 到 多 个 城市 其 至 全 
国 的 时 候 ， 就 属于 广域网 的 范畴 了 。 目 前 ， 我 国 已 建成 的 广域网 是 ChinaNet、CERNET 等 。 
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大 型 企业 、 院 校 、 政 府 机 关 通 过 租用 公共 广域网 的 线路 ， 可 以 构成 目 己 的 广域网 。 

2. 根据 网 络 拓 扑 结 构 分 类 

网 络 拓扑 结构 分 为 物理 拓扑 和 逮 辑 拓扑 。 物 理 拓扑 结构 描述 网 络 中 由 网 络 终端 、 网 络 设 
备 组 成 的 网 络 节 点 之 间 的 几何 关系 ， 反 映 出 网 络 设备 之 间 以 及 网 络 终端 是 如 何 连接 的 。 

网 络 按照 拓扑 结构 划分 有 : 总 线 型 结构 、 环 形 结构 、 星 形 结构 、 树 形 结构 和 网 状 结构 ， 


如 图 1-3 所 示 。 
总 线 拓扑 结构 l l ! < 


i 树 形 拓扑 结构 PN 
星 形 拓扑 结构 . : : 


图 1-3 计算 机 网 络 的 拓扑 结构 





总 线 型 拓扑 结构 是 早期 同 轴 电 线 以 太 网 中 网 络 节 点 的 连接 方式 ， 网 络 中 各 个 节点 挂 接 到 
一 条 总 线 上 。 这 种 物理 连接 方式 已 经 被 淘汰 。 

1) 星 形 拓扑 结构 是 现代 以 太 网 的 物理 连接 方式 。 在 这 种 结构 下 ， 以 中 心 网络 设 备 为 核 
心 ， 与 其 他 网 络 设备 以 星 形 方式 连接 ， 最 外 端 是 网 络 终端 设备 。 星 形 拓扑 结构 的 优势 是 连接 
路 径 短 ， 易 连接 ， 易 管理 ， 传 输 效率 高 。 这 种 结构 的 缺点 是 中 心 节 点 需 具 有 很 高 的 可 靠 性 和 
元 余 度 。 

2) 树 形 拓扑 结构 的 网 络 层次 清晰 ， 易 扩展 ， 是 目前 多 数 校园 网 和 企业 网 使 用 的 结构 。 
这 种 结构 的 缺点 是 根 节 点 的 可 靠 性 要 求 很 高 。 

3) 环形 拓扑 结构 的 网 络 中 ， 通 信 线 路 治 各 个 节点 连接 成 一 个 闭环。 数据 传输 经 过 中 间 
节点 的 转发 ， 最 终 可 以 到 达 目 的 节点 。 这 种 通信 结构 的 最 大 缺点 是 通信 效率 低 。 

4) 网 状 拓扑 结构 构造 的 网 络 可 靠 性 最 高 。 在 这 种 结构 下 ， 每 个 节点 都 有 多 条 链 路 与 网 
络 相连 ， 高 密度 的 元 余 链 路 ， 使 一 条 甚至 几 条 链 路 出 现 故障 ， 网 络 仍然 能 够 正常 工作 。 网 状 
拓扑 结构 的 网 络 的 缺点 是 成 本 高 ， 结 构 复杂 ， 管 理 维护 相对 困难 。 




















1.2 局 域 网 


1.2.1 局 域 网 的 定义 及 功能 
局 域 网 技术 是 计算 机 网 络 研究 与 应 用 的 热点 ， 也 是 目前 技术 发 展 最 快 的 领域 之 一 。 从 局 
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域 网 应 用 的 角度 来 看 ， 它 的 技术 特点 主要 表现 在 以 下 方面 : 

1) 局 域 网 窗 盖 有 限 的 地 理 范 围 ， 通 第 为 0.1 ~2.5km， 适 用 于 公司 、 机 关 、 校 园 、 工 / 
等 有 限 范围 内 的 计算 机 、 终 端 与 各 类 信息 处 理 设 备 联网 的 需求 。 

2) 局 域 网 提供 高 传输 速率 (100Mbit/s ~10Gbit/s) 、 低 误 码 率 (10 ”~ 10”) 的 高 质量 
数据 传输 环境 ， 传 输 速率 高 达 1000Mbit/s 的 高 速 局 域 网 正在 发 展 中 。 

3) 局 域 网 一 般 属于 一 个 单位 ， 易 于 建立 、 维 护 与 扩展 。 

4) 决定 局 域 网 特性 的 主要 技术 要 素 为 网 络 拓扑 、 传 输 介质 与 介质 访问 控制 方法 。 

5) 从 介质 访问 控制 方法 的 角度 来 看 ， 局 域 网 可 分 为 共享 介质 式 局 域 网 与 交换 式 局 域 网 
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局 域 网 最 主要 的 功能 是 提供 资源 共享 和 相互 通信 ， 它 可 提供 以 下 几 项 主要 服务 : 

1) 资源 共享 ， 包 括 硬件 资源 共享 、 软 件 资源 共享 及 数据 库存 共享 。 在 局 域 网 上 各 用 户 
可 以 共享 昂贵 的 硬件 资源 ， 如 大 型 外 部 存储 器 、 绘 图 仪 、 激 光 打 印 机 、 图 文 扫描 仪 等 特殊 外 
设 。 用 户 可 共享 网 络 上 系统 软件 和 应 用 软件 ， 避 人 免 重复 投资 及 重复 劳动 。 网 络 技 术 可 使 大 量 
分 散 的 数据 能 被 迅速 集中 、 分 析 和 处 理 ， 分 散在 网 内 的 计算 机 用 户 可 以 共享 网 内 的 大 型 数据 
库 而 不 必 重 新 设计 这 些 数 据 库 。 

2) 数据 传送 和 电子 邮件 。 数 据 和 文件 的 传输 是 网 络 的 重要 功能 ， 现 代 局 域 网 不 仅 能 传 
送 文件 、 数 据 信 息 ， 还 可 以 传送 声音 、 图 像 。 局 域 网 站 点 之 间 可 提供 电子 邮件 服务 ， 某 网 络 
用 户 可 以 输入 信件 并 传送 给 男 一 用 户 ， 收 信人 可 打开 “邮箱 ”阅读 处 理 信件 并 可 写 回信 再 
发 回电 子 邮 件 ， 既 节省 纸张 又 快捷 方便 。 

3) 提高 计算 机 系统 的 可 靠 性 。 局 域 网 中 的 计算 机 可 以 互 为 后 备 ， 避 人 免 了 单机 系统 的 无 
后 备 时 可 能 出 现 的 故障 导致 系统 瘫痪 ， 大 大 提高 了 系统 的 可 靠 性 ， 特 别 在 工业 过 程控 制 、 实 
时 数据 处 理 等 应 用 中 尤为 重要 。 

4) 易于 分 布 处 理 。 利 用 网 络 技术 能 将 多 台 计 算 机 连 成 具有 高 性 能 的 计算 机 系统 ， 通 过 

定 算法 ， 将 较 大 型 的 综合 性 问题 分 给 不 同 的 计算 机 去 完成 。 在 网 络 上 可 建立 分 布 式 数据 库 
系统 ， 使 整个 计算 机 系统 的 性 能 大 大 提高 。 


1.2.2 局 域 网 的 分 类 


目前 ， 业 界 应 用 最 广泛 的 局 域 网 主要 是 以 双 绞 线 、 光 纤 为 代表 的 传输 介质 以 太 网 ， 在 网 
络 发 展 历史 中 ， 因 行业 特点 ， 所 采用 的 局 域 网 也 不 一 定 都 是 以 太 网 ， 局 域 网 主要 有 以 太 网 
( Ethernet) 、 令 牌 网 (Token Ring) 、FDDI 网 、 异 步 传输 模式 网 (ATM) 等 几 类 。 但 是 ， 目 
前 在 业界 使 用 的 主要 是 以 太 网 技术 和 无 线 局 域 网 技术 ， 其 他 组 网 技术 在 工业 领域 多 见 ， 其 他 
行业 较为 少见 。 本 节 重 点 介绍 以 太 网 技术 和 无 线 局 域 网 技术 。 

1. 以 太 网 (Ethernet ) 

1980 年 ，Digital Equipment Corporation 、Intel 和 Xerox ( DIX) 协会 发 布 了 第 一 个 以 太 网 
标准 。1982 年 ，DIX 协会 发 布 了 Ethernet 本 标准 ， 是 目前 LAN 中 实施 的 标准 。 以 太 网 是 应 
用 最 为 广泛 的 局 域 网 ， 包 括 标准 以 太 网 〈10Mbivs) 、 快 速 以 太 网 (100Mbits) 、 千 兆 以 太 
网 (1000Mbit/s) 和 10G 以 太 网 ， 它 们 都 符合 正 EE802. 3 系列 标准 规范 。 

(1) 标准 以 太 网 

最 开始 以 太 网 只 有 10Mbit/s 的 硅 吐 量 ， 它 所 使 用 的 是 CSMA/CD (Carrier Sense Multiple 
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Access/Collision Detect; 带 有 冲突 检测 的 载波 侦 听 多 路 访问 ) 的 访问 控制 方法 ， 通常 把 这 种 
最 早期 的 10Mbit/s 以 太 网 称 为 标准 以 太 网 。 以 太 网 主要 有 两 种 传输 介质 ， 即 双 绞 线 和 同 轴 
电缆 。 所 有 的 以 太 网 都 遵循 EEE 802. 3 标准 ， 下 面 列 出 的 是 EEE 802. 3 的 一 些 以 太 网 标 
准 ， 在 这 些 标准 前 面 的 数字 表示 传输 速度 ， 单 位 是 “Mbit/s”， 最 后 的 一 个 数字 表示 单 段 网 
线 长 度 (基准 单位 是 100m) ，Base 表示 “基带 ” ，Broad 代表 “带宽 ”。 

e@ 10Base-5: 使 用 粗 同 轴 电 缆 ， 最 大 网 段 长 度 为 S00m， 基 带 传 输 方法 ; 

e 10Base-2: 使 用 细 同 轴 电 缆 ， 最 大 网 段 长 度 为 183Sm， 基 珊 传 输 方 法 ; 

e@ 10Base-T: 使 用 双 绞 线 电 缆 ， 最 大 网 段 长 度 为 100m; 

e 1Base-5: 使 用 双 绞 线 电缆 ， 最 大 网 段 长 度 为 300m， 传 输 速 度 为 1Mbit/s; 

e@ 10Broad-36: 使 用 同 轴 电 缆 (RG-59AU CATV)，,， 最 大 网 段 长 度 为 3600m， 是 一 种 宽带 
传输 方式 ; 

e 10Base-F: 使 用 光纤 传输 介质 ， 传 输 速 率 为 10Mbit/s。 

(2) 快速 以 太 网 (Fast Ethernet) 

随 着 网 络 的 发 展 ， 传 统 标准 的 以 太 网 技术 已 难以 满足 日 益 增 长 的 网 络 数据 流量 速度 的 需 
求 。 在 1993 年 10 月 以 前 ， 对 于 要 求 10Mbits 以 上 数据 流量 的 LAN 应 用 ， 只 有 光纤 分 布 式 
数据 接口 (FDDI) 可 供 选 择 ， 但 它 是 一 种 价格 非常 昂贵 的 、 基 于 100Mbit/s 光缆 的 LAN。 
1993 年 10 月 ，Grand Junction 公司 推出 了 世界 上 第 一 台 快 速 以 太 网 集 线 需 FastSwitch10Z100 
和 网 络 接口 卡 FastNIC100， 快 速 以 太 网 技术 正式 得 以 应 用 。 随 后 Phtel 、SynOptics 、3COM、 
BayNetworks 等 公司 亦 相 继 推 出 自己 的 快速 以 太 网 装置 。 与 此 同时 ，IEEE802 工程 组 亦 对 
100Mbit/s 以 太 网 的 各 种 标准 ， 如 100 Base-TX、100 Base-T4、MII、 中 继 器 、 全 双 工 等 标准 
进行 了 研究 。1995 年 3 月 IEEE 宣布 了 IEEE802. 3u 100 Base-T 快速 以 太 网 标准 (Fast Ether- 
net) ， 就 这 样 开始 了 快速 以 太 网 的 时 代 。 

快速 以 太 网 与 原来 在 100Mbit/s 带宽 下 工作 的 FDDI 相 比 具有 许多 的 优点 ， 主 要 体现 在 
快速 以 太 网 技术 可 以 有 效 地 保障 用 户 在 布线 基础 实施 上 的 投资 ， 它 支持 3、4、5 类 双 绞 线 以 
及 光纤 的 连接 ， 能 有 效 地 利用 现 有 的 设施 。 

快速 以 太 网 的 不 足 也 是 以 太 网 技术 的 不 足 ， 即 快速 以 太 网 仍 是 基于 载波 侦 听 多 路 访问 和 
冲突 检测 (CSMAZCD) 技术 ， 当 网 络 负载 较 重 时 ， 会 造成 效率 的 降低 ， 当 然 可 以 使 用 交换 
技术 来 弥补 。 

100Mbit/s 快速 以 太 网 标准 又 分 为 : 100Base-TX 、100Base-FX、100Base-T4 三 个 子 类 。 

1) 100Base-TX: 是 一 种 使 用 5 类 数据 级 无 屏蔽 双 绞 线 或 屏蔽 双 绞 线 的 快速 以 太 网 技术 。 
它 使 用 两 对 双 绞 线 ， 一 对 用 于 发 送 ， 一 对 用 于 接收 数据 。 在 传输 中 使 用 4B/5B 编码 方式 ， 
言 号 频率 为 123SMHz。 符 合 EIA586 的 5 类 布线 标准 和 IBM 的 SPT 1 类 布线 标准 。 使 用 同 
10Base-T 相同 的 RJ-45 连接 器 。 它 的 最 大 网 段 长 度 为 100m。 它 支持 全 双 工 的 数据 传输 。 

2) 100Base-FX: 是 一 种 使 用 光缆 的 快速 以 太 网 技术 ， 可 使 用 单 模 和 多 模 光 纤 (62. 5pm 
和 125um) ， 多 模 光 纤 连 接 的 最 大 上 距离 为 5530m。 单 模 光 纤 连 接 的 最 大 距离 为 3000m。 在 传输 
中 使 用 4B/5B 编码 方式 ， 信 和 号 频率 为 125MHz。 它 使 用 MICAFDDI 连接 器 、ST 连接 器 或 SC 
连接 器 。 它 的 最 大 网 段 长 度 为 150m、412m、2000m 或 更 长 至 10km， 这 与 所 使 用 的 光纤 类 型 
和 工作 模式 有 关 ， 它 支持 全 双 工 的 数据 传输 。100Base-FX 特别 适合 用 于 有 电气 干扰 的 环境 、 
较 大 距离 连接 、 或 高 保密 环境 等 情况 。 
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3) 100Base-T4: 是 一 种 可 使 用 3、4、5 类 无 屏蔽 双 绞 线 或 屏蔽 双 绞 线 的 快速 以 太 网 技 
术 。 它 使 用 4 对 双 绞 线 ，3 对 用 于 传送 数据 ，1 对 用 于 检测 冲突 信和 号。 在 传输 中 使 用 8B/6T 
编码 方式 ， 信 号 频率 为 25MHz， 符 合 EIA586 结构 化 布线 标准 。 它 使 用 与 10Base-T 相同 的 
RJ-45 连接 硕 ， 最 大 网 段 长 度 为 100m。 

(3) 千 兆 以 太 网 (GB Ethernet) 

随 着 以 太 网 技术 的 深入 应 用 和 发 展 ， 企 业 用 户 对 网 络 连 接 速 度 的 要 求 越 来 越 高 ，1995 
年 11 月 ，IEEE802. 3 工作 组 委任 了 一 个 高 速 研 究 组 (Higher Speed Study Group ) ， 研 究 将 快 
速 以 太 网 速度 增 至 更 高 。 该 研究 组 研究 了 将 快速 以 太 网 速度 增 至 1000Mbivs 的 可 行 性 和 方 
法 。1996 年 6 月 ，IEEE 标准 委员 会 批准 了 千 兆 位 以 太 网 方案 授权 申请 ( Gigabit Ethernet 
Project Authorization Request )。 随 后 下 EE802.3 工作 组 成 立 了 802.3z 工作 委员 会 。 
IEEE802. 3z 委员 会 的 目的 是 建立 千 兆 位 以 太 网 标准 : 包括 在 1000Mbit/s 通信 速率 的 情况 下 
的 全 双 工 和 半 双 工 操 作 、802. 3 以 太 网 由 格式、 载波 侦 听 多 路 访问 和 冲突 检测 (CSMAZCD ) 
技术 、 在 一 个 冲突 域 中 支持 一 个 中 继 器 〈Repeater) 、10Base-T 和 100Base-T 向 下 兼容 技术 干 
兆 位 以 太 网 具有 以 太 网 的 易 移 植 、 易 管理 特性 。 千 兆 以 太 网 在 处 理 新 应 用 和 新 数据 类 型 方面 
具有 灵活 性 ， 它 是 在 赢得 了 巨大 成 功 的 10Mbit/s 和 100Mbit/s IEEE802. 3 以 太 网 标准 的 基础 
上 的 延伸 ， 提 供 了 1000Mpits 的 数据 带宽 。 这 使 得 千 兆 位 以 太 网 成 为 高 速 、 宽 带 网络 应 用 
的 战略 性 选择 。 

1000Mbit/s 千 兆 以 太 网 目前 主要 有 以 下 三 种 技术 版 本 : 1000Base-SX，-LX 和 -CX 版 本 。 
1000Base-SX 系列 采用 低 成 本 短波 的 CD (Compact Disc， 光 盘 激 光 器 ) 或 者 VCSEL (Vertical 
Cavity Surface Emitting Laser， 竺 直 腔 体 表 面 发 光 激 光 器 ) 发 送 器 ; 而 1000Base-LX 系列 则 使 
用 相对 昂贵 的 长 波 激 光 絮 ; 1000Base-CX 系列 则 打算 在 配 线 间 使 用 短 跳 线 电缆 把 高 性 能 服务 
器 和 高 速 外 围 设 备 连 接 起 。 

(4) 10G 以 太 网 

现在 10Gbit/s 的 以 太 网 标准 已 经 由 正 EE 802. 3 工作 组 于 2000 年 正式 制定 ，10G 以 太 网 
仍 使 用 与 以 往 10Mbit/s 和 100Mbit/s 以 太 网 相同 的 形式 ， 它 允许 直接 升级 到 高 速 网 络 。 同 样 
使 用 IEEE 802. 3 标准 的 帧 格式 、 全 双 工 业务 和 流量 控制 方式 。 在 半 双 工 方式 下 ，10G 以 太 
网 使 用 基本 的 CSMAZCD 访问 方式 来 解决 共享 介质 的 冲突 问题 。 此 外 ，10c 以 太 网 使 用 由 
IEEE 802. 3 小 组 定义 的 和 以 太 网 相同 的 管理 对 象 。 总 之 ，10G 以 太 网 仍然 是 以 太 网 ， 只 不 
过 更 快 。 但 由 于 10G 以 太 网 技术 的 复杂 性 及 原来 传输 介质 的 兼容 性 问题 (目前 只 能 在 光纤 
上 传输 ,与 原来 企业 常用 的 双 绞 线 不 兼容 ) ， 还 有 这 类 设备 造价 太 高 ， 因 此 主要 用 在 大 型 园 
区 网 络 的 核心 交换 机 等 设备 上 。 

2. 无 线 局 域 网 

无 线 局 域 网 (Wireless Local Area Network，WLAN) 是 计算 机 网 络 与 无 线 通信 技术 相 结 
合 的 产物 。 通 俗 地 说 ，WLAN 就 是 在 不 采用 传统 电费 的 同时 ， 提 供 传 统 有 限 局 域 网 的 所 有 功 
能 ， 网 络 所 需 的 基础 设施 不 需要 再 埋 在 地 下 或 隐藏 在 墙 里 ， 网 络 却 能 够 随 着 用 户 的 需要 移动 
或 变化 。 无 线 局 域 网 正在 日 渐 普 及 ， 越 来 越 多 的 办 公 楼 、 机 场 和 其 他 的 公共 场合 配备 了 
WLAN。 人 们 越 来 越 深刻 地 认识 到 : WLAN 不 仅 能 满足 移动 和 特殊 应 用 领域 的 需求 ， 还 能 履 
盖 有 线 网 络 难于 涉及 的 范围 。WLAN 作为 传统 局 域 网 的 补充 ， 目 前 已 成 为 局 域 网 应 用 的 热点 
问题 之 一 。 
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无 线 局 域 网 的 第 一 个 版 本 发 表 于 1997 年 ， 其 中 定义 了 介质 访问 接 入 控制 层 和 物理 层 。 
物理 层 定 义 了 工作 在 2.4GHz 的 ISM 频段 上 的 两 种 无 线 调频 方式 和 一 种 红外 传输 的 方式 ， 总 
数据 传输 速率 设计 为 2Mbit/s。 两 个 设备 之 间 的 通信 可 以 自由 直接 (ad hoc) 的 方式 进行 ， 也 
可 以 在 基站 (Base Station) 或 者 访问 点 (Access Point) 的 协调 下 进行 。 

1999 年 ， 加 上 了 两 个 补充 版 本 : 802. 11a 定义 了 一 个 在 5GHz ISM 频段 上 的 数据 传输 速 
率 可 达 54Mbit/s 的 物理 层 ; 802. 11b 定义 了 一 个 在 2.4GHz 的 ISM 频段 上 但 数据 传输 速率 高 
达 11Mbit/s 的 物理 层 。2.4GHz 的 ISM 频段 为 世界 上 绝 大 多 数 国家 通用 ， 因 此 802. 11b 得 到 
了 最 为 广泛 的 应 用 。 苹 果 公 司 把 自己 开发 的 802. 11 标准 起 名 叫 AirPort。1999 年 工业 界 成 立 
了 Wi-Fi 联盟， 致力 解决 符合 802. 11 标准 的 产品 的 生产 和 设备 兼容 性 问题 。802. 11 标准 和 
补充 如 下 。 

802. 11 ，1997 年 ， 原 始 标准 (2Mbit/s 工作 在 2.4GHz) 。 

802. 11a，1999 年 ， 物 理 层 补充 (54Mbit/s 工作 在 5GHz)。 

802. 11b ，1999 年 ， 物 理 层 补充 (11Mbit/s 工作 在 2.4CHz) 。 

802. 11c， 符 合 802. 1D 的 媒体 接 入 控制 屋 (MAC) 桥接 (MAC Layer Bridging)。 

802. 11d4， 根 据 各 国 无 线 电 规定 做 的 调整 。 

802. 1le ， 对 服务 等 级 ( Quality of Service ，QoS ) 的 支持 。 

802. 11f， 基 站 的 互 连 性 (Interoperability ) 。 

802. 11g， 物 理 层 补充 (54Mbit/s 工作 在 2. 4GHz)。 

802. 11h ， 无 线 履 盖 半 径 的 调整 ， 室 内 (indoor) 和 室外 (outdoor) 信道 (5GHz 频段 ) 。 

802. 11i1， 安 全 和 鉴 权 (Authentification) 方面 的 补充 。 

802. 11n， 导 入 多 重 输入 输出 (MIMO) 和 40Mpit 通道 宽度 (HT40) 技术 ,基本 上 是 
802. 11a/g 的 延伸 版 。 








只 已 


1.3 园区 网 络 规划 与 设计 


1.3.1 园区 网 络 的 概念 


园区 网 通常 是 指 大 学 的 校园 网 及 企业 的 内 部 网 (intranet)， 其 本 质 就 是 局 域 网 。 可 以 从 
几 个 方面 对 园区 网 络 进行 划分 ， 如 根据 局 域 网 采用 的 拓扑 结构 ， 可 分 为 总 线 型 局 域 网 、 环 形 
局 域 网 、 星 形 局 域 网 和 混合 型 局 域 网 等 ， 这 种 分 类 方法 比较 常用 。 按 局 域 网 使 用 的 协议 或 媒 
体 访问 控制 方法 ， 可 以 将 局 域 网 分 为 以 太 网 、 令 牌 环 网 等 。 还 可 以 按 数据 的 传输 速度 分 为 
10Mbit/s 局 域 网 、100Mbit/s 局 域 网 、 千 兆 局 域 网 等 。 按 信息 的 交换 方式 可 分 为 交换 式 局 域 
网 、 共 享 式 局 域 网 等 。 从 园区 网 组 网 工程 规模 大 小 的 角度 ， 我们 可 以 将 园区 网 分 为 小 型 园区 
网 、 中 型 园区 网 以 及 大 型 园区 网 。 

小 型 网 络 是 针对 “对 等 网 ”或 基于 服务 器 、 集 线 套 、 交 换 机 的 初级 网 络 系统 。 小 型 网 
络 的 需求 相对 简单 ， 将 知 干 台 计 算 机 连接 起 来 ， 组 成 对 等 的 网 络 ， 计 算 机 之 间 可 以 相互 之 间 
共享 资源 ， 如 果 其 中 一 台 计 算 机 安装 了 打印 机 、 扫 描 仪 等 ， 其 余 计算 机 可 以 通过 网 络 系统 共 
享 打印 机 和 上 网 服务 。 中 型 网 络 是 指 那些 PC 和 网 络 设备 数量 在 50 ~ 250 之 间 的 网 络 ， 而 大 
型 网 络 可 能 包括 上 千 台 到 上 万 人 台 的 终端 设备 。 大 型 网 络 大 多 采用 分 布 式 交 换 网 络 设 计 ， 具 有 
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清晰 的 分 层 模型 。 充 分 考虑 各 个 主机 的 流量 需求 ， 关 键 设 备 实现 匈 余 备份 ， 路 由 技术 和 交换 
技术 的 有 机 结合 ， 构 建 一 个 高 速 、 稳 定 、 可 靠 的 多 业务 实施 解决 方案 。 

1. 小 型 园区 网 

小 型 园区 网 主要 用 来 实现 网 内 用 户 全 部 信息 资源 共享 。 此 类 局 域 网 往往 接 入 的 计算 机 节 
点 较 少 , 一 般 在 20 ~50 台 之 间 ， 而 且 各 个 节点 相对 集中 ， 每 个 节点 与 集线器 或 交换 机 之 间 
的 距离 不 超过 100m， 采 用 双 绞 线 进 行 结构 化 布线 就 足够 了 。 

在 选用 硬件 方面 ， 交 换 机 十 分 强调 端口 的 交换 能 力 ， 内 置 交换 模块 性 能 比 集 线 右 高 出 许 
多 ， 采 用 交换 机 可 以 提高 整个 网 络 的 性 能 。 另 一 方面 ， 由 于 现在 低 端 桌面 交换 机 价格 比较 便 
宜 ， 比 集 线 带 价格 中 不 了 多 少 ， 因 此 可 以 采用 果 面 交换 机 。 

2. 中 型 园区 网 

中 型 园区 网 的 规模 较 小 型 园区 网 略 大 一 些 ， 需 要 连接 的 计算 机 市 点 一 般 在 60 台 以 上 ， 
并 且 各 个 节点 的 距离 也 较 远 ,一 般 超过 100m 其 至 更 远 ， 利 用 双 绞 线 作 为 传输 介质 已 经 远 远 
不 够 。 而 且 此 时 对 网 络 性 能 的 要 求 也 比较 高 ， 对 网 络 的 传输 速度 也 有 一 定 的 要 求 ， 因 此 可 以 
使 用 光纤 介质 来 连接 整个 网 络 的 主干 网 络 ， 从 而 使 网 络 可 以 有 较 长 的 传输 距离 (2km 以 
全 

中 型 园区 网 可 以 采用 两 层 结 构 ， 即 中 心 交 换 机 层 和 供 各 个 节点 连 和 人 的 桌面 交换 机 层 。 中 
心 交 换 机 可 以 采用 高 档 的 企业 级 交换 机 ， 提 供 多 个 千 兆 网 络 端口 。 各 个 节点 的 桌面 交换 机 连 
接 到 中 心 交 换 机 上 ， 每 一 个 桌面 交换 机 内 部 就 相当 于 一 个 小 型 园区 网 。 

3. 大 型 园区 网 

由 于 大 型 的 企业 园区 网 的 覆盖 范围 极 广 ， 如 学 校 、 企 业 、 工 三、 政府 机 构 等 ， 因 此 ， 必 
须 采 用 性 能 优良 、 功 能 强大 的 设备 才能 保证 整个 系统 稳定 、 安 全 、 可 靠 地 运行 。 建 立 大 型 网 
区 网 时 需要 考虑 的 因素 很 多 ， 需 要 大 型 园区 网 的 企业 一 般 都 把 高 性 能 的 网 络 通信 摆 在 性 能 需 
求 的 第 一 位 。 这 种 大 型 网 络 应 该 使 用 千 兆 以 太 网 ， 中 心 交换 机 可 选用 企业 级 高 密度 中 型 交换 
机 ， 适 宜 采 用 两 层 结 构 或 者 三 层 结 构 。 三 层 结构 是 以 中 型 局 域 网 为 基点 进行 扩展 的 ， 多 个 中 
型 局 域 网 的 骨干 交换 机 连接 到 中 心 交换 机 上 。 这 两 种 方案 的 选择 应 根据 实际 情况 来 定 ， 如 果 
整个 园区 网 比较 分 散 ， 部 分 节点 比较 集中 ， 则 利用 三 层 结构 较 好 ; 如 果 各 个 节点 之 间 都 比较 
分 散 ， 桌 面 交 换 机 到 骨干 交换 机 的 距离 较 远 ， 则 采用 两 层 结构 较为 合理 。 当 然 也 可 以 采用 两 
层 结构 和 三 层 结构 混合 的 方法 ， 把 相对 集中 的 桌面 交换 机 通过 骨干 交换 机 汇集 起 来 连接 到 中 
心 交 换 机 上 ， 而 分 散 的 节点 直接 接 到 中 心 交换 机 上 。 


1. 3.2 ”大 型 园区 网 络 规划 与 设计 


大 型 园区 网 络 建设 工程 是 一 项 复杂 的 系统 工程 ， 涉 及 技术 问题 、 管 理 问 题 、 组 织 问题 、 
经 费 问题 。 它 通常 是 伴随 着 现代 智能 建筑 建设 的 发 展 而 发 展 ， 特 别 是 现代 建筑 中 的 任何 一 个 
楼 宇都 无 法 离开 网 络 的 建设 。 大 型 园区 网 络 规划 与 设计 必须 遵守 一 定 的 系统 分 析 和 设计 方 
法 。 网 络 规划 设计 要 处 理 好 整体 建设 与 局 部 建设 、 近 期 建设 与 远 期 建设 之 间 的 关系 ， 根 据 用 
户 近期 需求 、 经 济 实力 和 中 远 期 发 展 趋势 ， 结 合 网 络 技术 的 现状 和 发 展 进行 综合 考虑 ， 特 别 
是 因 网 络 技术 的 飞速 发 展 ， 要 具有 一 定 的 前 脆性 、 可 扩展 性 。 网 络 规划 设计 应 解决 以 下 几 个 
主要 问题 : 

1) 为 什么 要 建设 计算 机 网 络 一 一 建设 计算 机 网 络 的 目的 。 
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2) 计算 机 网 络 可 以 解决 哪些 问题 一 一 建设 计算 机 网 络 的 目标 。 

3) 建设 什么 样 的 计算 机 网 络 一 一 计算 机 网 络 方案 设计 。 

本 方 以 组 建 大 型 校园 网 为 例 ， 讲 述 大 型 网 络 的 规划 和 设计 步 又 。 

1. 需求 分 析 

建设 计算 机 网 络 ， 要 有 明确 的 目的 性 ， 只 有 充分 明确 了 目标 ， 才 能 更 好 地 有 针对 性 的 进 
行规 划 设 计 。 需 求 分 析 是 网 络 设计 的 基础 ， 有 助 于 增强 设计 者 对 网 络 功能 的 理解 ， 给 整个 网 
络 设计 提供 参考 。 需 求 分 析 并 不 是 设计 者 赁 经 验 或 主观 上 写 的 文档 ， 它 需要 与 客户 进行 沟 
通 ， 并 将 用 户 模糊 的 想法 明确 化 、 具 体 化 ， 然 后 进行 有 针对 性 的 分 析 和 设计 ， 使 网 络 能 满足 
用 户 的 需求 。 同 时 ， 摘 清楚 网 络 应 用 的 约束 ， 掌 所 网 络 分 析 的 技术 指标 ， 采 用 适当 的 分 析 网 
络 流量 的 方法 ， 也 是 网 络 需求 分 析 中 非常 重要 的 内 容 。 可 以 说 ， 组 建 网 络 、 需 求 分 析 先 行 。 
在 需求 分 析 中 要 充分 开展 调查 ， 了 解 关于 建设 网 络 单位 业主 的 所 有 关于 建筑 、 员 工 、 技 术 等 
各 方面 的 信息 ， 进 行 广泛 走访 、 资 料 收集 、 分 析 。 

2. 综合 布线 系统 规划 设计 

根据 需求 分 析 的 结果 ， 基 本 上 可 以 判断 所 需要 建设 的 园区 网 络 的 规模 。 首 先 需要 明确 建 
筑 规模 的 大 小 ， 比 如 是 一 栋 楼 内 的 小 型 局 域 网 络 ， 还 是 多 栋 楼 军 之 间 的 中 型 局 域 网 络 或 是 一 
个 大 型 园区 的 局 域 网 络 。 根 据 所 建设 网 络 规模 的 大 小 ， 对 建筑 物 进行 分 析 ， 决 定单 栋 建筑 物 
内 的 综合 布线 系统 和 楼 宇 之 间 的 综合 布线 系统 ， 可 以 从 这 两 个 层面 展开 设计 和 分 析 一 一 综合 
布线 系统 的 规划 与 设计 。 

综合 布线 系统 以 一 套 单一 的 配 线 系统 ， 综 合 通信 和 网络、 信息 网 络 及 控制 网 络 ， 可 以 使 相 
互 间 的 信号 实现 互联 互通 。 对 于 新 建 、 扩 建 、 改 建 建筑 与 建筑 群 综合 布线 系统 工程 设计 必须 
做 到 充分 重视 需求 ， 既 要 从 整体 上 考虑 ， 也 要 细 化 到 每 一 个 房间 ， 每 一 个 桌面 端口 。 综 合 布 
线 系统 设施 及 管线 的 建设 ， 应 纳入 建筑 与 建筑 群 相应 的 规划 设计 之 中 。 在 工程 设计 时 ， 应 根 
据 工程 项 目的 性 质 、 功 能 、 环 境 条 件 和 近 、 远 期 用 户 需 求 进行 设计 ， 并 应 考虑 施工 和 维护 方 
便 ， 确 保 综 合 布线 系统 工程 的 质量 和 安全 ， 做 到 技术 先进 、 经 济 合 理 。 在 确定 建筑 物 或 建筑 
群 的 功能 与 需求 以 后 ,规划 能 适应 智能 化 发 展 要 求 的 相应 的 综合 布线 系统 设施 和 预 埋 管 线 ， 
防止 今后 增设 或 改造 时 造成 工程 的 复杂 性 增加 和 费用 的 浪费 。 综 合 布线 系统 作为 建筑 物 的 公 
用 通信 配套 设施 ， 在 工程 设计 中 应 满足 为 多 家 电信 业务 经 营 者 提供 业务 的 需求 。 综 合 布线 系 
统 作为 建筑 的 公共 电信 配套 设施 在 建设 期 应 考虑 一 次 性 投资 建设 ， 能 适应 为 多 家 电信 业务 经 
营 者 提供 通信 与 信息 业务 服务 的 需求 ， 保 证 电信 业务 在 建筑 区 域内 的 接 入 、 开 通 和 使 用 ; 使 
得 用 户 可 以 根据 自己 的 需要 ， 通 过 对 入 口 设施 的 管理 选择 电信 业务 经 营 者 ， 避 免 造成 将 来 建 
筑 物 内 管线 的 重复 建设 而 影响 到 建筑 物 的 安全 与 环境 。 因 此 ， 在 管道 与 设施 安装 场地 等 方 
面 ， 工 程 设计 中 应 充分 满足 电信 业务 市 场 竞争 机 制 的 要 求 。 

目前 ， 业 界 主要 采用 的 是 超 五 类 和 六 类 综合 布线 系统 ， 在 设计 方面 主要 参照 执行 国家 关 
于 综合 布线 系统 工程 设计 方面 的 规范 对 单 体 楼 宇 及 建筑 群 之 间 的 光线 进行 设计 。 在 建筑 群 之 
间 主 要 采用 光缆 ;同时 要 考虑 设计 好 每 一 个 建筑 物 内 的 弱电 间 、 配 线 间 、 弱 电 竖井 的 位 置 、 
管道 和 管 孔 的 位 置 、 孔 径 大 小 等 各 方面 设计 细节 ， 以 满足 网 络 传输 的 需求 ， 也 符合 国家 相关 
设计 和 施工 规范 和 标准 。 

3. 网 络 核心 机 房 设 计 

目前 ， 园 区 网 络 设计 规划 ， 一 般 都 要 考虑 设立 园区 网 络 的 核心 机 房 ， 网 络 核心 机 房 也 是 
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整个 网 络 的 核心 位 置 。 从 组 网 的 角度 来 看 ， 它 是 全 网 的 核心 所 在 ; 从 物理 位 置 上 看 ， 也 应 该 
尽 可 能 地 选择 园区 的 中 心 位 置 来 设计 和 建立 一 个 网 络 核心 机 房 。 它 的 面积 大 小 根据 网 络 规模 
及 应 用 系统 规模 的 大 小 来 决定 。 

网 络 核 心机 房 建 设 是 一 项 非常 复杂 的 工程 ， 特 别 是 面积 较 大 的 网 络 核 心机 房 ， 从 机 房 选 
址 、 电 力 供 应 、 水 源 、 防 火 、 防 雷 等 各 方面 都 应 考虑 。 我 们 一 般 可 以 将 网 络 核心 机 房 设计 分 
为 8 个 子 系统 来 进行 规划 和 设计 : 机 房 装 修 、 机 房 UPS 电源 及 其 供 配 电 、 照 明 及 防 雷 接地 
系统 、 机 房 空 调 通风 系统 、 机 房 综合 布线 系统 、 机 房 动力 环境 监控 系统 、 消 防 及 火灾 自动 报 
警 系 统 、 机 房 KVM 集中 管理 系统 等 。 

4. 网 络 系统 集成 方案 设计 

网 络 系统 集成 方案 设计 的 根本 任务 就 是 要 决定 采用 什么 样 的 组 网 技术 、 如 何 对 整个 网 络 
进行 规划 设计 、 还 有 设备 选 型 。 从 组 网 技术 上 看 ， 目 前 基本 上 最 流行 的 组 网 技术 仍然 是 以 太 
网 技术 ， 主 要 是 千 兆 以 太 网 和 万 兆 以 太 网 技术 。 通 俗 地 说 ， 大 型 园区 网 络 基本 上 是 “万 兆 
骨干 、 王 兆 桌 面 ” ， 万 兆 以 太 网 技术 也 是 一 种 非常 成 熟 的 技术 方案 ， 而 且 能 较 好 地 进行 设备 
选 型 ， 能 文 持 各 种 应 用 。 

在 进行 组 网 方案 设计 时 ， 要 考虑 楼 宇 的 分 布 情况 、 网 络 机 房 的 设计 、 信 息 点 的 位 置 以 及 
综合 布线 系统 的 规划 、 弱 电 间 和 设备 间 的 设计 ， 要 对 整个 网 络 进行 一 个 总 体 上 的 规划 布局 。 
实际 上 在 设计 和 规划 综合 布线 系统 、 网 络 核心 机 房 之 后 ， 我 们 已 经 将 网 络 规划 为 一 个 以 网 络 
核心 机 房 为 中 心 的 呈 星 形 数 设 状 的 网 络 架构 ， 即 形成 一 个 从 核心 机 房 到 各 弱电 机 房 辐射 的 一 
个 网 络 拓扑 结构 。 

在 网 络 设备 选 型 方面 ， 网 络 设备 选 型 包括 传输 介质 、 交 换 机 、 路 由 名 、 服 务 器 以 及 其 他 
硬件 产品 。 在 进行 设备 选 型 时 ， 要 充分 考虑 到 需求 。 在 满足 需求 的 情况 下 ， 考 虑 经 济 原则 与 
性 价 比 等， 综合 选择 最 合适 的 网 络 设 备 。 坚 持 适 用 性 与 先进 性 相 结合 的 原则 ， 对 不 同 品牌 的 
交换 机 等 网 络 产 品 价格 差异 较 大 ， 功 能 也 不 一 样 ， 应 该 根据 应 用 的 实际 情况 ， 选 择 具 有 高 性 
能 、 高 可 靠 性 、 高 安全 性 、 高 可 扩展 性 、 高 可 维护 性 的 产品 。 选 择 网 络 产 品 时 ， 既 要 看 产品 
的 品牌 也 要 看 生产 厂商 和 销售 商品 是 否 有 强大 的 技术 支持 、 良 好 的 售后 服务 。 


1.3.3 大 型 园区 网 络 工程 设计 原则 


根据 目前 计算 机 网 络 的 现状 和 需求 分 析 以 及 未 来 的 发 展 趋势 ,在 网 络 工程 设计 时 应 遵循 
以 下 几 个 原则 。 

1. 开放 性 和 标准 化 原则 

首先 采用 国际 标准 和 国家 标准 ， 其 次 采用 广 为 流行 的 、 实 用 的 工业 标准 ， 只 有 这 样 ， 网 
络 系统 内 部 才能 方便 地 从 外 部 网 络 快速 获取 信息 。 同 时 还 要 求 在 授权 后 网 络 内 部 的 部 分 信息 
可 以 对 外 开放 ， 保 证 网 络 系统 具有 适度 的 开放 性 。 在 进行 网 络 工程 设计 时 ， 在 有 标准 可 执行 
的 情况 下 ， 一 定 要 严格 按照 相应 的 标准 进行 设计 ， 标 准 可 以 确保 这 个 网 络 能 做 到 完美 的 兼容 
件 < 

2. 实用 性 与 先进 性 兼顾 原则 

在 进行 网 络 工程 设计 时 首先 应 该 以 注重 实用 为 原则 ， 紧 密 结 合 具体 应 用 的 实际 需求 。 在 
选择 具体 的 网 络 技术 时 一 定 要 同时 考虑 当前 及 未 来 一 段 时 间 内 主流 应 用 的 技术 ; 男 一 方面 ， 
最 新 技术 的 产品 价格 非常 昂贵 ， 会 造成 不 必要 的 资金 浪费 。 在 选择 技术 时 ， 一 定 要 选择 主流 
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应 用 的 技术 ， 如 像 同 轴 电 缆 的 令 牌 环 以 太 网 和 FDDI 光纤 以 太 网 目前 已 很 少 使 用 ， 就 不 要 选 
用 了 。 目前 的 以 太 网 技术 基本 上 都 是 基于 双 绞 线 和 光纤 作为 传输 介质 ， 其 传输 速率 最 低 都 应 
达到 100A1000Mbit/s 甚至 10000Mbit/s; 这 些 技术 都 比较 成 熟 ， 可 做 到 充分 兼顾 实用 性 和 先 
进 性 。 

3. 无 瓶颈 原则 

网 络 性 能 与 网 络 安全 一 样 ， 最 终 取决 于 网 络 通信 链 路 中 性 能 最 低 的 那 部 分 。 进 行 网 络 工 
程 设 计时 一 定 要 综合 考虑 各 部 分 的 性 能 ， 而 不 能 只 注重 局 部 的 性 能 配置 。 特 别 是 交换 机 端 
口 、 网 卡 和 服务 器 组 件 配置 等 方面 的 匹配 性 。 

如 某 汇聚 层 交 换 机 连接 到 了 核心 交换 机 的 1000Mbit/s 双 绞 线 以 太 网 端口 上 ， 而 该 汇聚 
层 交换 机 却 只 有 100Mbit/s 甚至 10Mbit/s 的 端口 ， 很 显然 这 个 汇聚 层 交 换 机 上 所 连接 的 节点 
都 只 能 享有 10Mbit/s 或 100Mbit/s 的 性 能 。 如 果 上 联 端口 具有 1000Mbit/s 性 能 ， 而 各 节点 端 
口 文 持 100 Mbit/s 连接 ， 则 性 能 就 完全 不 一 样 了 。 还 如 服务 器 的 各 项 硬件 配置 都 非常 高 档 
(达到 了 企业 级 标准 )， 但 所 用 的 网 卡 却 只 是 普通 的 PCI 10A100Mbit/s 网 卡 ， 显 然 这 又 将 成 
为 服务 器 性 能 发 挥 的 瓶颈 。 

4. 可 用 性 原则 

网 络 系统 的 “可 用 性 ”通常 是 由 网 络 设备 〈 软 件 系统 其 实 也 有 “可 用 性 ”要 求 ) 的 
“可 用 性 ”决定 的 ， 主 要 体现 在 服务 器 、 交 换 机 、 路 由 器 、 防 火 墙 等 关键 设备 上 ， 尽 量 选 择 
国内 外 知名 品牌 、 应 用 主流 技术 和 成 熟 型 号 的 产品 。 另 外 ， 网 络 系统 的 电源 供应 在 可 用 性 保 
障 方面 也 非常 重要 。 通 党 像 服务 怖 、 交 换 机 、 路 由 器 、 防 火 墙 之 类 的 关键 设备 要 接 在 文 持 数 
个 小 时 以 上 〈 通 常 是 后 备 4h) 的 UPS 电源 上 。 

5. 适度 安全 性 原则 

网 络 安全 涉及 许多 方面 ， 最 明显 、 最 重要 的 就 是 对 外 界 人 侵 、 攻 击 的 检测 与 防护 。 在 一 
个 安全 措施 完善 的 计算 机 网 络 中 ， 不 仅 要 部 署 病 毒 防护 系统 、 防 火 墙 隔离 系统 ， 还 可 能 要 部 
署 人 侵 检 测 、 木 马 查 杀 系统 和 物理 隔离 系统 等 。 所 选用 系统 的 具体 等 级 要 根据 相应 网 络 规模 
的 大 小 和 安全 需求 而 定 。 

网 络 系统 的 安全 性 需求 还 体现 在 用 户 对 数据 的 访问 权限 上 ， 一 定 要 根据 对 应 的 工作 需求 
为 不 同 用 户 、 不 同 数据 配 置 相应 的 访问 权限 。 对 于 高 权限 账户 的 安全 应 受到 高 度 重 视 ， 要 采 
取 相 应 的 账户 防护 策略 (如 密码 复杂 性 策略 和 账户 锁定 策略 等 )， 保护 好 用 户 账户 ， 以 防 被 
非法 用 户 盗 取 。 

在 安全 性 防护 方面 ， 还 有 一 个 重要 的 方面 ， 就 是 数据 备份 和 容 灾 。 特 别 是 企业 数据 主要 
是 电子 文档 的 电子 商务 类 企业 。 在 设计 网 络 系统 时 ， 一 定 要 充分 考虑 到 用 户 对 数据 备份 和 容 
灾 的 需求 ， 部 署 相应 级 别 的 备份 和 容 灾 方 案 。 

6. 可 扩展 性 原则 

这 是 为 了 适应 用 户 业 务 和 网 络 规模 发 展 的 需求 ， 相 当 重 要 ， 特 别 是 对 于 中 小 型 企业 网 络 
来 说 。 这 类 企业 一 般 成 长 较 快 ， 很 可 能 不 到 三 年 时 间 ， 网 络 用 户 规模 就 要 翻 倍 ， 关 键 应 用 带 
宽 需 求 也 可 能 成 倍增 加 。 这 时 如 果 所 设计 的 网 络 系统 的 可 扩展 性 不 强 ， 就 会 给 网 络 用 户 和 性 
能 的 扩充 带 来 极 大 的 不 便 。 

网 络 的 可 扩展 性 主要 是 通过 交换 机 端口 、 服 务 器 处 理 器 数 、 内 存 上 容量、 磁盘 架 数 等 来 保 
证 。 通 常 要求 核 心 层 或 骨干 层 ， 甚 至 汇聚 层 交 换 机 的 高 速 端口 〈 通 常 为 千 兆 端口 ) 要 有 两 
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个 以 上 用 于 维护 和 扩展 。 
1.3.4 组 网 需求 分 析 


组 建 网 络 之 前 要 进行 需求 分 析 ， 主 要 是 了 解 用 户 目 前 的 现状 ， 现 在 和 未 来 需要 的 功能 、 
性 能 上 有 何 要 求 以 及 建设 成 本 效益 等 。 对 可 行 性 研究 阶段 中 所 收集 的 有 效 数 据 进行 分 析 ， 在 
此 基础 上 依据 计算 机 网 络 建设 的 方向 、 原 则 和 作用 ， 规 划 计算 机 网 络 的 建设 ， 为 网 络 设计 提 
供 必要 的 条 件 。 

1. 需求 分 析 的 类 型 

(1) 应 用 背景 分 析 

应 用 背影 分 析 概 括 了 当前 网 络 应 用 的 技术 背景 ， 介 绍 了 行业 应 用 的 方向 和 技术 趋势 ， 说 
明了 本 企业 网 络 信息 化 的 必然 性 。 应 用 背景 分 析 要 回答 一 些 为 什么 要 实施 网 络 集成 的 问 
题 。 

1) 国外 同行 业 的 信息 化 程度 以 及 取得 哪些 成 效 。 

2) 国内 同行 业 的 信息 化 趋势 如 何 。 

3) 本 企业 信息 化 的 目的 是 什么 。 

4) 本 企业 拟 采用 的 信息 化 步骤 如 何 。 

(2) 业务 需求 分 析 

目标 是 明确 企业 的 业务 类 型 、 应 用 系统 软件 种 类 以 及 它们 对 网 络 功 能 指标 (如 带宽 、 
服务 质量 QoS) 的 要 求 。 业 务 需 求 是 企业 建 网 中 首要 的 环节 ， 是 进行 网 络 规划 与 设计 的 基本 
依据 。 通 过 业务 需求 分 析 为 以 下 方面 提供 决策 依据 。 

1) 需 实 现 或 改进 的 企业 网 络 功能 有 哪些 。 

2) 需要 集成 的 企业 应 用 有 哪些 。 

3) 需要 电子 邮件 服务 吗 。 

4) 需要 Web 服务 吗 。 

5) 需要 上 网 的 网 速 或 带宽 是 多 少 。 

6) 需要 提供 网 络 视频 服务 吗 。 

7) 需要 什么 样 的 数据 共享 模式 。 

8) 计划 投入 的 资金 规模 是 多 少 。 

9) 对 网 络 可 靠 性 的 要 求 是 怎么 样 的 。 

(3) 网 络 管理 需求 分 析 

网 络 管理 是 企业 建 网 不 可 或 缺 的 方面 ， 网 络 是 否 按照 设计 目标 提供 稳定 的 服务 主要 依靠 
有 效 的 网 络 管理 。 高 效 的 管理 策略 能 提高 网 络 的 运营 效率 ， 建 网 之 初 就 应 该 重视 这 些 策略 。 
网 络 管理 的 需求 分 析 要 回答 以 下 问题 。 

1) 是 否 需 要 对 网 络 进行 远程 管理 ， 远 程 管理 可 以 帮助 网 络 管理 员 利 用 远程 控制 软件 管 
理 网 络 设备 ， 使 网 管 工作 更 方便 、 更 有 效 。 

2) 谁 来 负责 网 络 管理 。 

3) 需要 哪些 管理 功能 ， 如 需 不 需要 计 费 ， 是 否 要 为 网 络 建立 域 ,选择 什么 样 的 域 模式 
等 ? 

4) 选择 哪个 供应 商 的 网 管 软件 ， 是 否 有 详细 评估 。 

12 



































第 1 章 园区 网 络 工 程 概述 144 








5) 选择 哪个 供应 商 的 网 络 设备 ， 其 可 管理 性 如 何 。 

6) 需 不 需要 跟踪 和 分 析 处 理 网 络 运行 信息 。 

7) 将 网 管控 制 台 配置 在 何 处 。 

8) 是 否 采 用 了 易于 管理 的 设备 和 布线 方式 。 

(4) 网 络 安全 需求 分 析 

网 络 安全 需求 分 析 要 明确 以 下 几 点 。 

1) 企业 的 敏感 性 数据 的 安全 级 别 及 其 分 布 情况 。 

2) 网 络 用 户 的 安全 级 别 及 其 权限 。 

3) 可 能 存在 的 安全 漏洞 ， 这 些 漏 洞 对 本 系统 的 影响 程度 如 何 。 

4) 网 络 设备 的 安全 功能 要 求 。 

5) 网 络 系统 软件 的 安全 评 佑 。 

6) 应 用 系统 安全 要 求 。 

7) 采用 什么 样 的 杀毒 软件 。 

8) 采用 什么 样 的 防火 墙 技术 方案 。 

9) 安全 软件 系统 的 评 佑 。 

10) 网 络 避 循 的 安全 规范 和 达到 的 安全 级 别 。 

(5) 通信 量 需 求 分 析 

通信 量 需求 是 从 网 络 应 用 出 发 ， 对 当前 技术 条 件 下 可 以 提供 的 网 络 带宽 做 出 评估 。 通 信 
量 分 析 通 党 需要 考虑 以 下 几 个 问题 ， 见 表 1-1。 

表 1-1 通信 量 需求 分 析 


















































应 用 类 型 基本 带宽 需求 备 注 
PC 连接 56kbit/s ~ 1 Mbit/s 远程 连接 ，FTP、HTTP 、E-mail 
Oe 局 域 网 内 文件 共享 ，C/S 应 用 ，B/S 应 用 ， 在 线 游戏 等 绝 大 部 
分 纯 文本 应 用 
压缩 视频 2100kbit/s ~ 1Mbit/s 以 上 MP3 、rm 等 流 媒 体 传输 
非 压缩 视频 2Mbit/s 以 上 Vod 视频 点 播 、 视 频 会 议 等 




















1) 未 来 有 没有 对 高 带宽 服务 的 要 求 。 

2) 需 不 需要 市 宽 接 和 方式， 本 地 能 够 提供 的 带宽 接 和 人 方式 有 哪些 。 

3) 哪些 用 户 经 常 对 网 络 访问 有 特殊 的 要 求 ， 如 行政 人 员 经 常 要 访问 OA 服务 器 ， 销 售 
人 员 经 常 要 访问 ERP 数据 库 等 。 

4) 哪些 用 户 需要 经 党 访问 Internet， 如 客户 服务 人 员 经 常 要 收发 E-mail。 

5) 哪些 网 络 设备 能 提供 合适 的 带宽 ， 性 价 比 较 高 。 

6) 哪些 服务 如 有 较 大 的 连接 数 。 

7) 需要 使 用 什么 样 的 传输 介质 。 

8) 服务 天 的 网 络 应 用 是 否 能 够 文 持 负载 均衡。 

(6) 网 络 扩展 性 需求 分 析 

网 络 扩展 性 有 两 层 含义 ， 其 一 是 指 新 的 部 门 能 够 简单 地 接 入 现 有 网 络 ; 其 二 是 指 新 的 应 
用 能 够 无 颖 地 在 现 有 网 络 上 运行 。 扩 展 性 分 析 要 明确 以 下 指标 。 
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1) 企业 需求 的 新 增长 点 有 哪些 。 

2) 已 有 的 网 络 设 备 和 计算 机 资源 有 哪些 。 

3) 哪些 设备 需要 淘汰 ， 哪 些 设 备 还 可 以 保留 。 

4) 网 络 节点 和 布线 的 预 留 比率 是 多 少 。 

5) 哪些 设备 便于 网 络 扩展 。 

6) 主机 设备 的 升级 性 能 。 

7) 操作 系统 平台 的 升级 性 能 。 

(7) 网 络 环境 需求 分 析 

网 络 环境 需求 是 指 对 企业 的 地 理 环 境 和 人 文 布局 进行 实地 勘察 以 确定 网 络 规模 、 地 理 分 
划 ， 以 便 在 拓扑 结构 设计 和 结构 化 综合 布线 设计 中 做 出 决策 。 网 络 环 境 需 求 分 析 需 要 明确 下 
列 指标 。 

1) 园区 内 的 建筑 群 位 置 。 

2) 建筑 物 内 的 弱电 井 位 置 、 配 电 房 位 置 等 。 

3) 各 部 分 办 公 区 的 分 布 情况 。 

4) 各 工作 区 内 的 信息 点 数目 和 布线 规模 。 

2. 如何 获取 网 络 规划 与 设计 需求 

获取 网 络 规划 与 设计 需求 通常 有 四 种 方式 。 

1) 实地 考察 。 实 地 考察 是 工程 设计 人 员 获 得 第 一 手 资料 采用 的 最 直接 的 方法 ， 也 是 必 
需 的 步 又。 

2) 用 户 访谈 。 用 户 访 谈 要 求 工 程 设计 人 员 与 工程 单位 的 负责 人 通过 面谈 、 电 话 交 谈 、 
电子 邮件 等 通信 方式 以 一 问 一 答 的 形式 获得 需求 信息 。 

3) 问卷 调查 。 问 卷 调查 通常 对 人 数 较 多 的 最 终 用 户 提出 ， 询 问 其 对 将 要 建设 的 网 络 应 
用 的 要 求 。 问 卷 调 查 的 方式 可 以 分 为 无 记名 问卷 调查 和 记名 问卷 调查 。 

4) 向 同行 咨询 。 将 获得 的 需求 分 析 中 不 涉及 商业 机 密 的 部 分 发 布 到 专门 讨论 网 络 相 关 
技术 的 论坛 或 新 闻 组 中 ， 请 同行 审阅 已 制定 的 设计 说 明 书 ， 很 多 热心 的 同行 ， 通 常会 给 出 许 
多 中 肯 的 建议 。 


1.3.5 园区 网 络 建设 的 性 能 目标 


了 解 客户 的 建设 目标 及 其 约束 是 网 络 设计 中 一 个 非常 关键 的 方面 ， 只 有 对 客户 的 建设 目 
标 进 行 透彻 分 析 ， 才 能 提出 客户 认可 的 网 络 设 计 方 案 。 

1. 网 络 设计 目标 分 析 和 约束 

常见 的 网 络 设计 目标 包括 : 增加 收入 和 利润 、 提 高 市 场 占 有 份额 、 拓 展 新 的 市 场 空间 、 
提高 在 同一 市 场 内 同 其 他 公司 竞争 的 能 力 、 降 低 费 用 、 提 高 员工 生产 力 、 缩 短 产 品 开发 周 
期 、 使 用 即时 生产 方法 、 制 订 解 决 配件 短缺 的 加 护 、 为 新 客户 提供 服务 、 支 持 移 动 性 、 为 客 
户 提供 更 好 的 支持 、 为 关键 要 素 开 发 网 络 、 建 立 达到 新 水 平 的 恨 好 的 信息 网 和 关系 网 以 作为 
网 络 组 织 化 模型 的 基础 、 避 免 网 络 安全 问题 引发 商业 中 断 、 避 免 自 然 或 人 为 灾害 引发 商业 中 
断 、 对 过 时 的 技术 进行 更 新 改造 、 降 低 电 信和 网 络 费 用 并 在 操作 上 进行 简化 等 。 

进行 网 络 目标 分 析 的 步骤 包括 : 首先 ， 从 企业 高 层 管理 者 开始 收集 业务 需求 ; 其 次 ， 收 
集 用 户 群 体 需求 ; 最 后 ， 收 集 为 支持 用 户 应 用 所 需要 的 网 络 需 求 。 
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在 同 客户 见面 之 前 ， 最 好 先 调查 客户 所 从 事 的 基本 业务 信息 ， 如 了 解 客 户 所 属 的 行业 和 
客户 的 市 场 、 供 应 商 、 产 品 、 服 务 、 苋 争 优势 和 财务 状况 。 在 同 客户 见面 时 ， 首 先 要 有 有 关 
网 络 工程 项 目 目标 的 简要 令 述 。 接 着 ， 获 取 有 关公 司 的 组 织 络 构图。 最后， 获取 有 关 安 全 策 
略 。 

在 网 络 设计 目标 分 析 和 判断 用 户 给 出 新 的 网 络 应 用 需求 时 ， 网 络 约束 对 网 络 设计 影响 很 
大 。 和 常见 的 网 络 约束 主要 有 政策 约束 、 预 算 约束 、 时 间 约 束 、 技 术 约 束 、 人 员 约 束 。 

2. 网络 技 术 目标 分 析 

在 分 析 网 络 设计 技术 要 求 时 ， 应 当 列 出 用 户 能 够 接受 的 网 络 性 能 标准 ， 如 延迟 、 效 率 、 
否 吐 量 、 相 应 时 间 等 。 这 样 技 术 指 标 和 性 能 指标 就 为 后 期 网 络 升级 或 更 新 提供 了 一 种 比较 依 
据 ， 这 种 依据 就 是 性 能 基线 ( Baseline ) 。 

(1) 可 扩展 性 

可 扩展 性 指 的 是 网 络 设计 应 该 文 持 多 大 程度 的 网 络 扩展 。 网 络 分 层 设计 易于 扩展 ， 平 面 
式 网 络 设计 可 扩展 性 差 。 如 下 问题 属于 可 扩展 性 技术 目标 范畴 : 在 以 后 的 一 年 里 能 增加 多 少 
站 点 ?在 以 后 的 两 年 里 情况 如 何 ? 每 一 个 新 站 点 的 网 络 范围 有 多 大 ? 在 未 来 的 一 年 中 将 有 多 
少 新 的 用 户 访问 公司 的 互联 网 ? 未 来 的 两 年 情况 如 何 ? 在 未 来 的 一 年 里 将 会 在 互联 网 中 增加 
多 少 台 服务 兹 ? 

(2) 可 用 性 

可 用 性 可 以 用 每 年 、 每 月 、 每 天 或 者 每 小 时 内 正常 工作 的 时 间 占 该 时 期 总 时 间 的 百分率 
来 表示 。 例 如 : 24/7 运转 、 在 168h 一 周 内 网 络 可 用 165n 、 可 用 性 为 98. 21% 等 。 不 同 的 应 
用 程序 可 能 需要 不 同 的 可 用 性 级 别 ， 关 键 设 备 或 部 门 、 企 业 可 能 需要 99.999% 〈 即 “5 个 
9”) 可 用 性 目标 。 

衡量 可 用 性 通常 采用 失败 的 平均 时 间 (MTBF) 和 修复 的 平均 时 间 (MTTR) 来 定义 。 
公式 如 下 : 

可 用 性 =MTBF (MTBF + MTTR) 

例如 : 网 络 每 4000h (166 天 ) 失效 不 能 多 于 一 次 ， 并 且 要 在 一 个 小 时 内 修复 ， 则 该 网 
络 的 可 用 性 =4000/4001 =99.98% 。 

影响 可 用 性 的 因素 主要 有 可 靠 性 、 用 户 流量 的 容量 、 网 络 见 余 、 网 络 弹性 〈 指 网 络 可 
以 承受 的 压力 ) 等 。 

(3) 网 络 性 能 

网 络 性 能 也 是 技术 目标 的 一 种 ， 是 用 户 使 用 网 络 过 程 中 最 关注 的 一 个 技术 指标 。 通 常 性 
能 包括 宽 帝 、 香 吐 量 、 春 宽 利 用 率 、 提 供 负 载 、 准 确 性 、 效 率 、 延 迟 和 延迟 变化 、 响 应 时 间 
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1) 带 宫 : 对 于 网 络 链 路 ， 人 带宽 (bandwidth) 用 来 衡量 单位 时 间 内 传输 比特 的 能 力 ， 通 
用 bits 表示 ， 分 物理 带宽 和 逻辑 带宽 。 为 了 能 够 正常 工作 ,不 同类 型 的 应 用 需要 不 同 的 
移 。 

2) 否 吐 量 : 否 吐 量 是 指 单位 时 间 内 无 差错 地 传输 数据 的 能 力 ， 通 常 以 biYs、B/s 或 分 
组 / 秒 (pps) 度量 。 与 吞吐 量 相关 的 参数 通常 是 通道 容量 和 网 络 负载 。 吞 吐 量 和 有 效 吞 吐 
量 是 两 个 概念 ， 前 者 是 知道 字 有 7/ 秒 ， 而 不 管用 户 数据 字 节 或 分 组 头 部 字 节 ; 后 者 是 指 应 用 
层 用 户 字 节 的 吞吐 率 ， 有 时 又 称 “ 有 效 吞 吐 率 ” ， 即 每 个 分 组 头 部 浪费 掉 的 带宽 不 包括 在 
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内 。 有 效 否 吐 量 越 高 ， 相 应 时 间 越 快 。 影 响 否 吐 量 的 因素 主要 包括 : 分 组 的 大 小 、 分 组 之 间 
的 间 际 、 转 发 分 组 设备 的 速率 (分 组 / 秒 )、 网 络 设计 、 协 议 、 距 离 、 错 误 率 、 具 体 访 问 时 
间 等 。 

3) 效率 : 通常 指 发 送 一 定数 量 数据 需要 多 少 开 销 。 从 有 效 否 吐 量 角 度 来 看 ， 帧 越 大 ， 
效率 越 高 ; 帧 越 小 ， 效 率 越 低 。 但 是 ， 如 果 出 现 帧 的 丢失 或 者 重 传 ， 则 效率 明显 降低 。 

4) 啊 应 时 间 : 是 指 请 求 和 响应 之 间 的 时 间 。 通 常 响应 时 间 不 仅 与 网 络 相 关 ， 同 时 还 与 
应 用 程序 及 其 所 运行 的 设备 相关 。 大 多 数 用 户 期 望 在 100 ~200ms 内 在 显示 器 上 看 到 有 关内 
容 ， 即 客户 默认 可 以 接受 的 响应 时 间 。 影 响 响应 时 间 的 常见 因素 包括 轮 询 延迟 (如 令 有 牌 
网 ) 、 连 接 延 人 运 、CPU 延 运 、 网 卡 延 人 运 、 物 理 介质 传播 延迟 。 

5) 延迟 : 是 指 一 个 帧 准备 从 一 个 节点 传送 ， 并 传送 到 网 络 里 其 他 节点 所 花 的 时 间 。 引 
起 延迟 的 原因 主要 包括 : 传播 延迟 〈 信 号 在 电缆 或 光纤 中 传播 速度 仅 为 真空 中 传播 的 2/3 ) 、 
发 送 延 迟 〈 又 称 串 行 延 迟 ， 即 将 数字 数据 放 到 传输 线 上 所 需要 的 时 间 ， 例 如 ， 在 
1. 544Mbit/s Tl 线 上 输送 1024 字 节 需要 5ms)、 分 组 交换 延迟 、 排 队 延 运 和 重 传 延 迟 。 解 决 
延迟 的 常见 方法 是 增加 带宽 和 选择 高 级 队列 算法 。 

6) 拌 动 : 即 平均 延迟 的 时 间 变 化 量 ， 又 称 为 延迟 变化 。 在 网 络 设计 中 ， 语音、 视频 和 
音频 应 用 不 允许 发 生 抖 劲 。 如 果 客 户 提 不 出 具体 要 求 ， 则 延迟 变化 量 应 该 小 于 延迟 的 1% 或 
2% 。 即 如 果 平 均 延 迟 为 200ms 分 组 ， 则 抖动 不 应 该 高 于 2 ~4ms。 减 少 抖动 的 方法 就 是 为 语 
音 、 视 频 和 音频 提供 较 大 的 缓存 。 

7) 丢 包 率 : 是 指 在 一 定 的 时 段 内 在 两 点 间 传 输 中 丢失 分 组 与 总 的 发 送 分 组 的 比率 。 根 
本 原因 在 于 网 络 对 分 组 的 传输 是 按 “ 尽 力 而 为 ”方式 进行 的 ， 直 接 原因 是 存储 分 组 队列 空 
间 慢 和 网 络 链 路 带宽 拥塞 。 无 拥塞 时 ， 路 径 丢 包 率 为 0% ， 轻 度 拥塞 时 丢 包 率 为 1% ~49% ， 
严重 拥塞 时 丢 包 率 为 5% ~15% 。 对 用 户 来 讲 ， 丢 包 率 高 的 网 络 通 向 使 应 用 不 能 正常 工作 。 

8) 利用 率 : 反映 指定 设备 在 使 用 时 所 发 挥 的 最 大 能 力 。 在 网 络 设计 中 通常 考虑 两 种 类 
型 的 利用 率 : CPU 利用 率 和 链 路 利用 率 。 

(4) 安全 性 

安全 目标 是 指 实现 安全 的 费用 不 超过 从 安全 事故 中 恢复 所 需 的 费用 。 安 全 性 分 析 首 先 要 
获取 需要 保护 的 财产 ， 其 次 制定 详细 的 安全 规划 ， 如 确定 网 络 资产 ， 包 括 价值 和 期 望 费 用 以 
及 因 安 全 丢失 后 的 问题 、 安 全 风险 分 析 等 。 在 局 域 网 设计 中 ， 需 要 保护 的 资产 包括 硬件 、 软 
件 、 应 用 、 数 据 、 知 识 产 权 、 商 业 机 密 和 公司 信誉 

(5) 可 管理 性 

通过 管理 工具 ， 可 以 帮助 组 织 取得 可 用 性 、 性 能 和 安全 目标 ， 帮 助 机 构 测 量 网 络 设计 是 
和 否 满足 目标 ， 不 满足 时 则 可 以 通过 调整 网 络 参数 来 实现 。 借 助 简单 网 络 管理 协议 (Simple 
Network Management Protocol，SNMP) 可 以 轻松 实现 网 络 的 可 管理 性 。 

(6) 易 用 性 

易 用 性 是 指 网 络 用 户 访 问 网 络 和 服务 的 难 易 程度 。 主 要 目的 是 为 了 使 网 络 用 户 的 工作 更 
容易 进行 。 通 过 用 户 培训 ， 可 以 改善 用 户 访 问 网 络 和 服务 的 难 易 程 度 ; 严格 的 安全 或 访问 控 
制 则 会 从 负面 影响 易 用 性 。 

(7) 适应 性 

适应 性 是 指 适应 技术 上 的 变化 和 更 新 。 灵 活 的 网 络 设 计 能 适应 变化 的 通信 模式 和 服务 质 
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量 (Quality of Service，QoS) 需求 。 同 时 ， 尽 量 排除 会 使 未 来 新 技术 的 使 用 变 得 困难 的 任何 
因素 。 

(8) 可 付 性 

可 付 性 是 指 可 以 承担 得 起 的 网 络 设计 应 在 给 定 的 财务 成 本 下 承载 最 大 的 流量 。 局 域 网 和 
园区 网 设计 中 可 付 性 尤其 重要 ， 而 企业 网 则 表示 在 可 用 性 方面 。 在 以 流量 为 计 费 标准 的 局 域 
网 中 ， 接 入 网 电路 每 月 重复 的 花费 是 造成 运行 大 型 网 络 成 本 很 高 的 一 个 主要 原因 ， 因 此 可 以 
选用 适当 的 技术 加 以 降低 。 例 如 使 用 静态 默认 路 由 、 采 用 支持 数据 压缩 的 封装 协议 提高 数据 
传输 效率 、 动 态 分 配 广 域 网 带宽 等 技术 解决 。 

在 实际 网 络 设计 中 ， 需 要 做 出 折 中 才能 达到 目标 。 为 了 帮助 集成 商 分 析 折 中 ， 需 要 客户 
确定 一 个 最 主要 的 网 络 设计 目标 。 这 些 目标 可 以 是 商业 目标 ， 也 可 以 是 技术 目标 。 除 此 之 
外 ， 还 必须 要 求 客 户 区 分 剩余 目标 的 优先 顺序 ， 区 分 优先 顺序 将 有 利于 完成 网 络 设计 折 中 方 
案 。 表 1-2 是 一 个 折 中 方案 ， 要 求 客 户 将 他 们 想 花 费 在 可 扩展 性 、 可 用 性 、 网 络 性 能 、 安 全 
性 、 可 管理 性 、 易 用 性 、 适 用 性 、 可 付 性 等 方面 的 成 本 比例 做 个 选择 。 

表 1-2 网 络 技 术 目 标 所 占 比 例 表 













































































技术 指标 所 占 比 例 技术 指标 所 占 比例 
可 扩展 性 20% 可 管理 性 5% 
可 用 性 25% 易 用 性 10% 
网 络 性 能 15% 适应 性 5% 
安全 性 5% 可 付 性 15% 














折 中 方案 比 实际 方案 描述 起 来 要 复杂 得 多 ， 因 为 一 个 技术 目标 需要 其 他 技术 目标 的 支持 
或 与 其 他 技术 目标 存在 关联 。 通 常 来 讲 ， 校 园 网 可 付 性 比 可 用 性 重要 ， 企 业 网 可 用 性 比 可 付 
性 重要 。 


1.3.6 园区 网 络 建设 的 步骤 


设计 和 实现 网 络 系统 遵从 一 定 的 网 络 系统 集成 模型 。 模 型 从 系统 开始 ， 经 历 用 户 需 求 分 
析 、 逻 辑 网 络 设计 、 物 理 网 络 设计 和 测试 ， 并 贯彻 网 络 工程 监理 。 即 采用 目 顶 和 癌 下 的 网 络 设 
计 方 法 ， 从 0SI 参考 模型 上 层 开 始 ， 然 后 向 下 直到 底层 的 网 络 设计 方法 。 它 在 选择 较 低 层 的 
路 由 器 、 交 换 机 和 媒体 之 前 ， 主 要 研究 应 用 层 、 会 话 层 和 传输 层 功 能 。 该 模型 是 可 以 循环 反 
复 的 ， 并 且 是 进行 网 络 工程 设计 的 第 一 步 。 

通常 来 计 ， 网 络 工程 系统 集成 步 又 主要 包括 以 下 几 个 方面 。 

1. 选择 系统 集成 商 或 设备 供应 商 

建设 小 型 网 络 ， 只 需 选 择 适 当 的 网 络 设备 和 网 络 设备 供应 商 。 如 果 要 建设 大 中 型 网 络 系 
统 ， 就 需要 选择 系统 集成 商 。 用 户 以 招标 的 方式 选择 系统 集成 商 ， 对 网 络 系统 的 意愿 应 体现 
在 发 布 的 招标 文件 上 。 系 统 集成 商 的 公司 资质 、 公 司 业绩 、 技 术 实力 、 公 关 能 力 和 谈判 技巧 
等 综合 表现 是 能 否 中 标的 关键 。 

2. 用 户 需 求 分 析 

用 户 需 求 分 析 是 指 确定 网 络 系统 要 文 持 的 业务 、 要 完成 的 功能 、 要 达到 的 性 能 等 。 通 常 
来 讲 ， 网 络 设 计 者 应 从 以 下 三 个 方面 进行 用 户 需 求 分 析 : 网 络 的 应 用 目标 、 网 络 的 应 用 约束 
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和 网 络 的 通信 特征 。 

3. 逻辑 网 络 设 计 

在 逻辑 网 络 设计 中 ， 重 点 是 网 络 系统 如 何 部 署 和 网 络 拓扑 等 细节 设计 。 主 要 工作 包括 网 
络 拓扑 设计 、 网 络 分 层 设 计 、IP 地 址 规划 、 路 由 和 交换 协议 选择 、 网 络 管理 和 安全 等 。 

4. 物理 网 络 设计 

主要 任务 包括 网 络 环境 设计 和 网 络 设备 选 型 ， 其 中 网 络 环境 设备 主要 是 指 结构 化 布线 系 
统 设 计 、 网 络 机 房 设 计 和 供电 系统 设计 等 方面 ; 网 络 设备 选 型 主要 是 指 园区 网 设备 选 型 和 企 
业 网 设备 选 型 。 

5. 网 络 安全 设计 

网 络 安全 是 网 络 集成 系统 中 必须 面 对 的 重要 问题 ， 涉 及 资源 、 设 备 、 数 据 等 资产 。 设 计 
上 ， 首 先 界定 要 保护 的 资源 ; 其 次 制定 安全 策略 ， 采 购 安 全 产品 ; 最后， 设计 适合 需要 的 网 
络 设计 方案 。 

6. 网 络 设备 安装 调试 和 验收 

网 络 设备 在 正式 交付 使 用 之 前 ， 必 须 在 仿真 环境 上 经 过 测试 。 常 见 的 网 络 测 试 包括 网 络 
协议 测试 、 布 线 系统 测试 、 网 络 设 备 测试 、 网 络 系统 应 用 测试 、 安 全 测试 等 多 个 方面 。 

7. 网 络 系统 验收 

网 络 系统 验收 是 指 用 户 方正 式 认 可 系统 集成 商 完 成 的 网 络 工 程 阶段 。 这 一 阶段 确认 工程 
项 目 是 否 达到 设计 要 求 。 验 收 分 为 现场 验收 和 文档 验收 。 现 场 验 收 需要 检验 环境 是 否 符合 要 
求 ; 文档 验收 需要 检验 开发 文档 、 管 理 文档 和 用 户 文 档 是 否 完 备 。 

8. 用 户 培 训 和 系统 维护 

网 络 一 旦 交工 ， 后 期 维护 是 非常 重要 且 繁 琐 的 一 件 事 情 。 系 统 集成 商 或 设备 供应 商 必 须 
为 用 户 提供 必要 的 培训 ， 培 训 对 象 可 以 是 网 管 人 员 、 一 般 用 户 等 。 培 训 可 分 为 现场 培训 和 指 
定 地 点 培训 ， 同 时 还 涉及 以 合同 方式 提供 产品 、 设 备 售后 服务 和 免费 技术 文 持 等 。 

















1.4 园区 网 络 逻 辑 设计 


1.4.1 网 络 拓扑 的 选择 


随 着 电子 集成 技术 和 通信 技术 的 发 展 ， 局 域 网 拓扑 结构 也 在 不 断 地 变化 和 更 新 。 在 20 
世纪 60 年 代 推出 了 环形 拓扑 结构 和 星 形 拓扑 结构 ， 随 着 分 布 式 控制 的 发 展 ，20 世纪 70 年 
代 推 出 了 总 线 型 和 树 形 拓扑 结构 。 目 前 ， 局 域 网 的 拓扑 结构 主要 有 : 星 形 、 环 形 、 总 线 型 、 
树 形 、 网 状 型 和 混合 型 等 几 种 。 其 中 ， 前 三 种 是 广泛 应 用 的 网 络 拓扑 结构 单元 ， 实 际 的 企业 
网 络 拓扑 结构 基本 上 是 这 三 种 网 络 结构 单元 混合 组 成 的 ， 如 后 面 的 树 形 、 混 合 型 结构 。 网 状 
结构 在 局 域 网 中 目前 基本 上 不 单独 采用 ， 只 是 在 一 个 网 络 中 的 局 部 采用 ， 主 要 用 于 元 余 连 
接 。 目 前 的 实际 应 用 中 ， 网 络 的 物理 拓扑 结构 一 般 都 采用 星 形 连接 ， 星 形 连接 在 将 用 户 接 入 
网 络 时 具有 更 大 的 灵活 性 ， 当 系统 不 断 发 展 或 当 系统 发 生 重大 变化 时 ， 这 种 优点 将 显得 更 加 
突出 。 为 网 络 的 平滑 升级 创造 了 先天 条 件 。 

星 形 结 构 是 目前 应 用 最 广 、 实 用 性 最 好 的 一 种 拓扑 结构 ， 可 在 不 影响 系统 其 他 设备 工作 
的 情况 下 很 方便 地 增加 或 减少 设备 。 无 论 在 局 域 网 中 ， 还 是 在 广域网 中 都 可 以 见 到 它 的 号 
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影 ， 但 主要 应 用 于 双 绞 线 以 太 局 域 网 中 。 它 采用 的 传输 介质 是 常见 的 是 双 绞 线 和 光纤 ， 担 当 
集中 连接 的 设备 是 具有 双 绞 线 的 RJ45 以 太 网 端口 ， 或 各 种 光纤 端口 的 集线器 或 交换 机 。 星 
形 结构 的 主要 优点 有 网 络 传输 数据 快 ， 实 现 容易 ， 成 本 低 ， 节 点 扩展 和 移动 方便 ， 维 护 容 
易 ; 主要 缺点 有 核心 交换 机 工作 负载 重 ， 网 络 布线 比较 复杂 ， 广 播 传输 影响 网 络 性 能 。 典 型 
的 星 形 网 络 扣 扑 结构 如 图 14 所 示 。 
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图 1-4 典型 的 星 形 网 络 拓扑 结构 
1.4.2 网 络 分 层 结构 设计 


1. 层次 化 网 络 结构 设计 

三 层 网 络 架构 采用 层次 化 模型 设计 ， 即 将 复杂 的 网 络 设计 分 成 几 个 层次 ， 每 个 层次 着 重 
于 某 些 特定 的 功能 ， 这 样 就 能 够 使 一 个 复杂 的 大 问题 变 成 许多 简单 的 小 问题 。 如 图 1-5 所 
示 ， 三 层 网 络 架构 设计 的 网 络 有 三 个 层次 : 核心 层 〈 网 络 的 高 速 交 换 主 干 )、 汇 聚 层 〈 提 供 
基于 策略 的 连接 )、 接 入 层 (将 工作 站 接 入 网 络 )。 

对 于 一 个 中 小 型 园区 网 络 ， 常 见 的 只 有 接 入 层 和 核心 层 两 层 结构 。 核 心 层 设备 充当 了 接 
入 层 的 网 关 功 能 ， 既 做 交换 也 做 路 由 。 这 是 一 种 比较 简单 的 方式 ,但 是 对 于 大 型 园区 网 络 ， 
基本 上 都 是 按照 三 层 结构 来 进行 设计 和 划分 的 ， 从 二 层 交 换 技术 的 网 络 架构 调整 到 三 层 交 换 
技术 的 网 络 架 构 ， 网 络 的 优化 效果 明显 ， 配 之 以 网 管 软件 ， 网 络 的 安全 性 和 可 防护 性 大 为 提 
高 。 通 过 合理 配置 核心 交换 机 ， 充 分 发 挥 了 核心 交换 机 的 硬件 性 能 ， 调 整 核心 交换 机 在 带 
宽 、 网 络 流量 处 理 能 力 位 置 结 构 ， 具 备 恨 好 的 扩展 性 ， 根 据 业 务 需求 划分 VLAN， 控 制 广播 
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范围 ， 抑 制 广播 风暴 ， 提 高 了 局 域 网 的 整体 性 能 和 安全 性 。 如 图 1-6 展示 了 一 个 经 典 的 三 层 
网 络 架 构 。 


核心 层 


高 速 数 据 转 发 


路 由 聚合 及 流量 收敛 


工作 组 接 入 及 访问 控制 








图 1-5 层次 化 网 络 及 功能 划分 
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图 1-6 三 层 网 络 架 构 








(1) 核心 层 

核心 层 的 功能 主要 是 实现 骨干 网 络 之 间 的 优化 传输 ， 负 责 整个 网 络 的 网 内 数据 交换 。 核 
心 层 设计 任务 的 重点 通常 是 在 元 余 能 力 、 可 笔 性 和 高 速 的 传输 等 方面 。 

核心 层 是 网 络 的 骨干 ， 必 须 能 够 提供 高 速 数据 交换 和 路 由 快速 收敛， 要 求 具有 较 高 的 可 
徘 性 、 稳 定性 和 易 扩展 性 等 。 对 于 大 型 局 域 网 的 核心 屋 ， 必 须 提供 高 性 能 、 高 可 靠 的 网 络 结 
构 。 核 心 交 换 机 设备 应 该 在 提供 大 容量 、 高 性 能 L27ZL3 交换 服务 的 基础 上 ， 能 够 进一步 融 
合 硬件 Pv6 、 网 络 安全 、 网 络 业 务 分 析 等 智能 特性 ， 可 为 校园 园区 构建 融合 业务 的 基础 网 
络 平台 ， 进 而 帮助 用 户 实现 开 资源 整合 的 需求 。 

(2) 汇聚 层 

汇聚 层 主要 负责 连接 接 和 人 层 接 点 和 核心 层 中 心 ， 汇 集 分 散 的 接 和 人 点 ， 扩 大 核心 层 设备 的 
端口 密度 和 种 类 ， 汇 聚 各 区 域 数 据 流量 ， 实 现 骨 干 网 络 之 间 的 优化 传输 。 汇 聚 交 换 机 还 负责 
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本 区 域内 的 数据 交换 ， 汇 聚 交 换 机 一 般 与 中 心 交 换 机 同类 型 ， 仍 需要 较 高 的 性 能 和 比较 丰富 
的 功能 ， 但 否 吐 量 较 低 。 

汇聚 层 来 自分 布 在 某 个 楼 宇 的 接 入 层 交 换 机 的 流量 ， 当 路 由 协议 应 用 于 这 一 层 时 ， 具 有 
负载 均衡 、 快 速 收敛 和 易于 扩展 等 特点 ， 这 一 层 还 可 作为 接 入 设备 的 第 一 跳 网 关 ; 对 于 大 型 
局 域 网 的 汇聚 层 设 备 ， 应 该 能 够 承载 多 种 融合 业务 ， 能 够 融合 MPLS、IPv6、 网 络 安全 、 无 
线 、 无 源 光 网 络 等 多 种 业务 ,提供 不 间断 转发 、 优 雅 重启 ( Graceful Restart) 、 环 网 保护 等 
多 种 高 可 笔 技 术 ， 能 够 承载 大 型 园区 融合 业务 的 需求 。 

人 

接 入 层 网 络 作 为 二 层 交 换 网 络 ， 提供 工 作 站 等 设备 的 网 络 接 入 ,设备 端口 比较 密集 。 接 
入 层 在 整个 网 络 中 接 入 交换 机 的 数量 最 多 ， 具 有 即 插 即 用 的 特性 。 对 此 类 交换 机 的 要 求 ， 一 
是 价格 合理 ; 二 是 可 管理 性 好 ， 易 于 使 用 和 维护 ; 三 是 有 足够 的 否 吐 量 ; 四 是 稳定 性 好 ， 和 外 
够 在 比较 恶劣 的 环境 下 稳定 地 工作 。 

接 入 层 提 供 网 络 的 第 一 级 接 入 功能 ， 完 成 简单 的 二 、 三 层 交 换 ， 安 全 、QoS 和 POF 功 
能 都 位 于 这 一 层 。 对 于 大 型 局 域 网 的 接 入 层 设备 ， 现 在 普遍 采用 千 兆 接 入 的 方式 ， 应 该 具有 
丰富 的 ACL 策略 以 及 高 级 QoS 策略 等 功能 。 

2. 元 余 拓 扑 网 络 结构 设计 

很 多 行业 和 企业 用 户 ， 对 网 络 都 有 实时 性 的 要 求 ， 比 如 人 金融、 证 券 、 航 空 、 铁 路 、 邮 政 
以 及 一 些 企业 用 户 等 ， 其 网 络 一 旦 出 现 故 障 ， 将 会 带 来 巨大 的 经 济 损失 ; 但 网 络 涉及 环节 非 
常 多 ， 比 如 说 线路 、 电 信 的 设备 等 ， 任 何 一 个 环节 出 现 问题 ， 都 会 导致 整个 网 络 传输 运行 的 
停止 。 所 以 应 该 给 用 户 提 供 见 余 的 网 络 ， 作 为 重要 的 网 络 设备 路 由 器 和 核心 交换 机 ， 就 是 通 
过 备份 来 实现 网 络 的 元 余 ， 确 保 网 络 的 畅通 。 

在 具有 单 点 故障 隐患 的 网 络 连接 中 ， 一 个 核心 节点 或 汇聚 节点 的 故障 往往 会 导致 下 连 所 
有 节点 设备 的 业务 中 断 ; 或 下 连 节点 设备 有 大 流量 业务 冲击 时 ， 上 层 设备 处 理 能 力 不 够 。 所 
以 在 高 可 用 的 网 络 设计 中 可 采用 “网 络 节 点 元 余 + 链 路 元 余 ”的 设计 方法 。 例 如 ， 核 心 级 
设备 的 双 机 热 备 、 双 链 路 接 和 人 。 如 果 网 络 中 存在 单 点 故障 的 隐患 ， 且 该 隐患 处 于 核心 层 位 
置 ， 则 网 络 的 可 用 性 受到 挑战 ， 进 而 整个 企业 的 开业 务 应 用 也 存在 隐患 。 

为 了 提高 整个 网 络 的 可 靠 性 ， 核 心 交换 机 采用 双 机 热 备 份 、 负 载 平衡 方式 ， 即 两 台 核 心 
交换 机 正常 情况 下 都 参与 工作 ， 当 其 中 的 任何 一 台 发 生 故 障 时 ， 男 外 一 台 可 以 自动 、 无 缝 地 
接管 它 的 工作 ， 这 对 网 络 管理 员 、 用 户 来 说 部 是 透明 的 ， 无 需 人 工 干 预 故障 切换 ， 提 高 了 网 
络 对 突 发 事故 的 自动 容错 能 力 ， 最 小 化 网 络 的 失效 时 间 。 

如 图 1-7 所 示 ， 核 心 层 采用 双 机 热 备 的 技术 ， 可 以 防止 网 络 结构 中 的 单 点 故障 ， 提 高 企 
业 网 络 的 可 用 性 。 在 核心 层 网 络 中 采用 双 机 热 备 的 元 余 网 络 节 点 的 方式 ， 通 过 元 余 协议 配 
置 ， 正 常情 况 下 业务 应 用 的 数据 可 通过 两 台 核 心 设备 转发 ， 降 低 了 大 业务 量 对 单 台 核心 设备 
的 压力 ; 当 一 人 台 核 心 层 设备 故障 的 时 候 ， 接 人 层 设备 的 业务 可 以 自动 切换 到 另外 一 人 台 核 心 层 
设备 上 正常 转发 ， 增 强 了 网 络 对 单 点 设备 故障 的 容错 能 


1.4.3 JIP 地址 规划 与 分 配 


IP 地 址 的 合理 规划 是 网 络 设计 中 的 重要 一 环 ， 在 设计 大 型 园区 网 络 时 ， 必 须 考虑 对 整 
个 园区 网 络 进行 IP 地 址 的 规划 和 设计 。]IP 地 址 规划 的 好 坏 ， 影 响 到 网 络 路 由 协议 算法 的 效 
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图 1-7 匈 余 网 络 设计 


率 ， 影 响 到 网 络 的 性 能 ， 影 响 到 网 络 的 扩展 ， 影 响 到 网 络 的 管理 ， 也 必 将 直接 影响 到 网 络 应 
用 的 进一步 发 展 。 因 此 ， 对 于 一 个 网 络 的 逻辑 设计 ，IP 地 址 规划 是 最 重要 的 ， 必 须 针 对 全 
局 来 统一 规划 。 

1. IP 地 址 分 配 原 则 

IP 地 址 空间 分 配 ， 要 与 网 络 拓 扑 层 次 结构 相 适 应 ， 既 要 有 效 地 利用 地 址 空间 ， 又 要 体 
现 出 网 络 的 可 扩展 性 和 灵活 性 ， 同 时 能 满足 路 由 协议 的 要 求 ， 以 便于 网 络 中 的 路 由 聚 类 ， 减 
少 路 由 器 中 路 由 表 的 长 度 ， 减 少 对 路 由 器 CPU 、 内 存 的 消耗 ， 提 高 路 由 算法 的 效率 ， 加 快 
路 由 变化 的 收敛 速度 ， 同 时 还 要 考虑 到 网 络 地 址 的 可 管理 性 。 有 具体 分 配 时 要 遵循 以 下 原则 : 

1) 唯一 性 : 一 个 IP 网 络 中 不 能 有 两 个 主机 采用 相同 的 IP 地 址 。 

2) 简单 性 : 地 址 分 配 应 简单 ， 易 于 管理 ， 降 低 网 络 扩展 的 复杂 性 ， 简 化 路 由 表 项 。 

3) 连续 性 : 连续 地 址 在 层次 结构 网 络 中 易于 进行 路 径 登 合 ， 大 大 缩减 了 路 由 表 ， 提 高 
了 路 由 算法 的 效率 。 

4) 可 扩展 性 : 地 址 分 配 在 每 一 层次 上 都 要 留 有 余 量 ， 在 网 络 规模 扩展 时 能 保证 地 址 县 
合 所 需 的 连续 性 。 

5) 灵活 性 : 地 址 分 配 应 具有 灵活 性 ， 以 满足 多 种 路 由 策略 的 优化 ， 充 分 利用 地 址 空 
间 。 

主流 的 卫 地 址 规划 方案 分 为 纯 公 网 地 址 、 纯 私 网 地 址 和 混合 网 络 地 址 三 种 。 对 于 一 般 
的 园区 网 络 而 言 ， 通 常 是 使 用 私 网 地 址 ， 然 后 在 出 口 设备 上 实现 NAT 功能 。 

2. IP 地 址 规划 方案 

一 般 需要 对 园区 网 络 的 卫 地 址 进行 严格 编码 ， 每 位 代表 不 同 的 含义 。 其 编码 规则 如 图 
1-8 所 示 。 

通过 地 址 标识 可 以 清楚 地 区 分 出 IP 地 址 的 来 源 ， 便 于 路 由 汇聚 和 访问 控制 。 从 上 图 中 
我 们 也 可 以 看 出 ， 通 过 规划 ， 我 们 能 从 卫 地 址 分 析出 卫 地址 的 来 源 、 用 途 等 ， 这 将 为 网 络 
的 维护 带 来 方便 。 具 体 的 IP 地 址 定义 将 结合 实际 情况 确定 。 核 心 交 换 机 支持 静态 或 动态 的 
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应 用 标识 
1 网络 号 类 别 标识 | 相应 IP 地 址 类 别 
1 fs 
2. 单位 地 址 标识 (北京 或 烟台 ) 和 We ss 
3. 单位 内 部 某 汇 聚 区 域 地 址 010 备用 
人 011 备用 
3. 应 用 标识 100 语音 、 视 频 类 
5. 用 户 网 络 地 址 101 备用 
110 备用 
111 网 络 互联 地 址 

















地 址 编码 规范 





图 1-8 IP 地 址 编码 规则 


IP 地 址 分 配 ， 并 支持 动态 IP 地 址 分 配方 式 下 DHCP-Relay 功能 ，DHCP SERVER 可 安放 在 园 
区 内 部 。 对 于 固定 IP 地 址 用 户 ， 需 要 针对 标识 符 〈MAC 地 址 ) 设 定 保 留 PP 地 址 。 对 于 所 
有 的 网 络 设备 ， 还 需要 配置 管理 IP， 以 便 实现 远程 管理 。 

3. IPv4 路 由 规划 

对 于 大 型 园区 网 络 ， 整 个 骨干 网 络 一 般 采 用 OSPF (Open Shortest Path First， 开 放 式 最 
短路 径 优 先 ) 路 由 协议 ，OSPF 协议 在 整个 骨干 网 中 不 会 引起 路 由 回环 ， 利 于 园区 网 骨干 网 
的 健壮 性 。 即 在 汇聚 与 核心 交换 机 之 间 采 用 OSPF 路 由 的 方式 ，OSPF 路 由 的 方式 可 以 减少 
网 络 中 心 人 员 对 于 校园 网 的 维护 量 。OSPF 在 校园 网 中 只 在 核心 骨干 中 进行 运行 ， 这样 大 大 
减少 了 骨干 节点 之 间 OSPF 协议 的 收敛 周期 ， 在 实际 的 应 用 过 程 中 可 以 提高 园区 网 络 的 高 稳 
定性 。 


1.4.4 IPv6 地 址 规划 与 分 配 


1. IPvY6 地 址 简介 

IP 地 址 规划 主要 涉及 网 络 资源 利用 方便 有 效 的 管理 网 络 问题 ，IPv6 地 址 有 128 位 ， 其 
中 可 供 分 配 为 网 络 前 级 的 空间 有 64bit。 按 照 最 新 的 IPv6 RFC3513 ，IPv6 地 址 分 为 全 球 可 路 
由 前 级 和 子 网 ID 两 部 分 ， 协 议 并 没有 明确 的 规定 全 球 可 路 由 前 级 和 子 网 ID 各 目 占 的 bit 数 ， 
目前 APNIC ( Asia-Pacific Networh Information Center， 亚 太 互 联网 络 信息 中 心 ) 能 够 申请 到 
的 IPv6 地 址 空间 为 /32 的 地 址 。 

IPv6 的 地 址 使 用 方式 有 两 类 : 一 类 是 普通 网 络 申 请 使 用 的 IP 地 址 ， 这 类 地 址 完全 遵从 
前 级 + 接口 标识 符 的 IP 地 址 表示 方法 ; 另外 一 类 就 是 取消 接口 标识 符 的 方法 ， 只 使 用 前 绥 
来 表示 卫 地 址 。 

IP 地 址 的 分 配 和 网 络 组 织 、 路 由 策略 以 及 网 络 管理 等 都 有 密切 的 关系 ，IPv6 地 址 规划 
目前 尚 没有 主流 的 规则 ， 有 具体 的 卫 地 址 分 配 通 常 在 工程 实施 时 统一 规划 实施 ， 可 以 遵循 一 
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些 分 配 原则 : 

1) 地 址 资源 应 全 网 统一 分 配 。 

2) 地 址 划分 应 有 层次 性 ， 便 于 网 络 互联 ， 简 化 路 由 表 。 

3) IP 地 址 的 规划 与 划分 应 该 考虑 到 网 络 的 发 展 需求 。 

4) 充分 合理 地 利用 已 申请 的 地 址 空间 ， 提 高 地 址 的 利用 效率 。 

IP 地 址 规划 应 该 是 网 络 整体 规划 的 一 部 分 ， 即 卫 地 址 规划 要 和 网 络 层次 规划 、 路 由 协 
议 规 划 、 流 量规 划 等 结合 起 来 考虑 。 卫 地 址 的 规划 应 尽 可 能 和 网 络 层次 相对 应 ， 应 该 是 自 
顶 向 下 的 一 种 规划 。 

全 球 可 聚集 IPv6 地 址 的 前 组 为 64 位 ， 后 64 位 为 主机 的 interface id， 所 以 各 个 驻地 网 用 
户 用 于 可 分 配 的 IPv6 地 址 前 级 空间 的 范围 为 /48 至 /64 之 间 。 

IPv6 的 地 址 分 配 原 则 同 IPv4 一 样 遵 循 CIDR ( Classless Inter-Domain Routing， 无 类 型 域 
间 选 路 ) 原则 。 

IPv6 的 地 址 规划 时 考虑 三 大 类 地 址 : 

1) 公共 服务 器 地 址 ， 如 DNS、EMAIL、FTP 等 。 

2) 网 络 设备 互联 地 址 和 网 络 设备 的 LOOPBACK 地 址 。 

根据 IETF IPv6 工作 组 的 建议 ，IPv6 网 络 设备 互联 地 址 采用 /64 的 地 址 。IPv6 网 络 设 备 
的 LOOPBACK 地 址 采用 /128 的 地 址 。 

3) 用 户 终端 的 业务 地 址 。 

此 外 ， 由 于 目前 网 络 设备 的 IPv6 MIB 信息 的 获取 和 OSPFv3 中 ROUTER ID 等 均 要 求 即 
使 是 一 个 纯 IPv6 网 络 也 必须 要 求 每 个 网 络 设备 拥有 IPv4 地 址 。 所 以 一 个 纯 IPv6 网 络 也 必须 
规划 IPv4 地 址 〈 仅 需要 网 络 设备 互联 地 址 和 网 络 设备 的 LOOPBACK 地 址 ) 。 

2. IPv6 的 优势 

IPv6 的 发 展 是 从 1992 年 开始 的 ， 经 过 了 12 年 的 发 展 ，IPv6 的 标准 体系 已 经 基本 完善 ， 
在 这 个 过 程 中 ，IPv6 逐步 优化 了 协议 体系 结构 ， 为 业务 发 展 创造 机 会 。 归 纳 起 来 IPv6 的 优 
势 有 如 下 几 个 特点 : 

1) 地 址 充足 : IPv6 产生 的 初衷 主要 是 针对 IPv4 地 址 短缺 问题 ， 即 从 IPv4 的 32bit 地 
址 ， 扩 展 到 了 IPv6 的 128bit 地 址 ， 充 分 解决 地 址 匮乏 问题 。 同 时 IPv6 地 址 是 有 范围 的 ， 包 
括 链 路 本 地 地 址 、 站 点 本 地 地 址 和 任意 播 地 址 ， 这 也 进一步 增加 了 地 址 应 用 的 扩展 性 。 

2) 简单 是 美 : 简化 固定 的 基本 报头 ， 采 用 64bit 边界 定位 ， 取 消 IP 头 的 校 验 和 域 等 措 
施 ， 以 提高 网 络 设备 对 IP 报 文 的 处 理 效率 。 

3) 扩展 为 先 : 引入 灵活 的 扩展 报头 ， 按 照 不 同 协议 要 求 增 加 扩展 头 种 类 ， 按 照 处 理 顺 
序 合理 安排 扩展 头 的 顺序 ， 其 中 网 络 设备 需要 处 理 的 扩展 头 在 报 文 头 的 前 部 ， 而 需要 宿 端 处 
理 的 扩展 头 在 报 文 头 的 尾部 。 

4) 层次 区 划 : IPv6 极 大 的 地 址 空间 使 层次 性 的 地 址 规划 成 为 可 能 ， 同 时 国际 标准 中 已 
经 规定 了 各 个 类 型 地 址 的 层次 结构 ， 这 样 既 便于 路 由 快速 查找 地 址 格式 更 具 层 次 性 ， 也 有 利 
于 路 由 聚合 ， 缩 减 了 IPv6 路 由 表 大 小 ， 降 低 了 网 络 地 址 规划 的 难度 。 

5) 即 插 即 用 : IPv6 引入 自动 配置 以 及 重 配置 技术 ， 对 于 IP 地 址 等 信息 实现 自动 增删 更 
新 配置 ， 提 高 了 IPv6 的 易 管 理性 。 

6) 贴身 安全 : IPv6 集成 了 IPSec， 用 于 网 络 层 的 认证 与 加 密 ， 为 用 户 提供 端 到 端 安 全 ， 
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使 用 起 来 比 IPv4 简单 、 方 便 ， 可 以 在 迁移 到 IPv6 时 同步 发 展 IPSec。 

7) QoS 考虑 : 新 增 流标 记 域 ， 为 源 、 窒 端 快速 处 理 实时 业务 提供 可 能 ， 有 利于 低 性 能 
的 业务 终端 支持 IPv6 的 语音 、 视 频 等 应 用 。 

8) 移动 便捷 : Mobile IPv6 增强 了 移动 终端 的 移动 特性 、 安 全 特性 、 路 由 特性 ， 降 低 了 
网 络 部 署 的 难度 和 投资 ， 为 用 户 提供 了 永久 在 线 服务 。 

3. JPv6 网 络 整 体 设计 

新 建 IPv6 网 络 相 对 前 一 种 组 网 模式 简单 ， 选 取 文 持 双 栈 的 交换 机 设备 ， 按 照 现 有 的 园 
区 网 建设 模式 组 建 网 络 即 可 。 核 心 层 和 汇聚 层 可 选用 双 栈 交换 机 ， 接 和 人 层 可 使 用 现 有 的 二 层 
接 入 交换 机 组 网 。 根 据 用 户 带宽 的 需要 ， 分别 选用 “ 百 焰 到 拧 面 ”或 “和 干 兆 到 桌面 ”的 模 
式 。 对 一 些 IPv6 应 用 特殊 场景 可 以 选择 IPv6 双 栈 交换 机 进行 接 人 。 为 提高 网 络 的 可 靠 性 ， 
汇聚 层 与 核心 层 之 间 、 接 入 层 与 汇聚 层 之 间 采 用 双 归 链 路 上 联 实 现 链 路 元 余 ; 汇聚 设备 作为 
用 户 接 入 点 网 关 设 备 ， 通 过 运行 HSRP 或 VRRP 协议 实现 网 关 元 余 ; 核心 节点 采用 双核 心 部 
署 保 证 节点 元 余 。 

4. IPv6 路 由 规划 

路 由 协议 分 为 域内 路 由 协议 和 域 间 路 由 协议 ， 目 前 主要 的 路 由 协议 都 增加 了 对 IPv6 的 
文 持 功能 。 从 路 由 协议 的 应 用 范围 来 看 ，OSPFv3 、RIPng 和 1S-ISv6 适用 于 自治 域内 部 路 由 ， 
为 内 部 网 关 协 议 ; BGP4 + 用 来 在 自治 域 之 间 交 换 网 络 可 达 信 息 ， 是 外 部 网 关 协 议 。 

(1) 域内 路 由 协议 选择 

支持 IPv6 的 内 部 网 关 协 议 有 : RIPng、OSPFv3 、IS-ISv6 协议 。 从 路 由 协议 标准 化 进程 
看 ，RIPng 和 OSPFv3 协议 已 较为 成 熟 ， 支 持 IPv6 的 IS-IS 协议 标准 草案 也 已 经 过 多 次 讨论 
修改 ， 标 准 正 在 形成 之 中 ， 而 且 1S-ISv6 已 经 在 主流 厂家 的 相关 设备 中 得 到 支持 。 从 协议 的 
应 用 范围 的 角度 ，RIPng 协议 适用 于 小 规模 的 网 络 ， 而 OSPF 和 IS-IS 协议 可 用 于 较 大 规模 的 
网 络 。 

对 于 大 规模 的 IP 网 络 ， 为 了 保证 网 络 的 可 靠 性 和 可 扩展 性 ， 内 部 路 由 协议 (1GP) 必 
须 使 用 链 路 状态 路 由 协议 ， 只 能 在 OSPF 与 IS-IS 之 间 进 行 选择 ， 下 面 对 两 种 路 由 协议 进行 
简单 的 对 比 。 

目前 ， 在 IPv4 网 络 中 大 量 使 用 的 OSPF 路 由 协议 版 本 号 为 OSPFv2 ， 能 够 文 持 IPv6 路 由 
言 息 的 OSPF 版 本 称 为 OSPFv3 ， 能 够 文 持 IPv6 路 由 信息 交换 的 ISIS 路 由 协议 称 为 IS-ISv6。 

OSPFv3 与 OSPFv2 相 比 ， 虽 然 在 机 制 和 选 路 算法 上 并 没有 本 质 的 改变 ， 但 新 增 了 一 些 
OSPFv2 不 具备 的 功能 。OSPFv3 只 能 用 来 交换 IPv6 路 由 信息 ，ISISv6 可 以 同时 交换 IPv4 路 
由 信息 和 IPv6 路 由 信息 。 

OSPF 是 基于 IP 层 的 协议 ，OSPF v3 是 为 IPv6 开发 的 一 套 链 路 状态 路 由 协议 。 大 体 与 支 
持 IPv4 的 OSPF v2 版 本 相似 。 

对 比 OSPF v2， 在 OSPF v3 中 有 以 下 区 别 : 

虽然 OSPFv3 是 为 IPv6 设计 的 ， 但 是 OSPF 的 Router ID、Area ID 和 LSA Link State ID 依 
然 保 持 IPv4 的 32 位 的 格式 ， 而 不 是 指定 一 个 IPv6 的 地 址 。 所 以 即使 运行 OSPF v3 也 需要 为 
路 由 器 分 配 IPv4 地 址 。 

协议 的 运行 是 按照 每 一 条 链 路 〈Per-link) 进行 的 ， 而 不 是 按照 每 个 子 网 进行 的 per- 
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把 地 址 域 从 OSPF 包 和 一 些 LSA 数据 包 中 去 除 掉 ， 使 得 其 成 为 网 络 层 协议 独立 的 路 由 协 
议 。 

与 OSPFv2 不 同 ，IPv6 的 地 址 不 再 出 现在 OSPF 包 中 ， 而 是 会 在 链 路 状态 更 新 数据 包 中 
作为 LSA 的 负载 出 现 。 

Router-LSA 和 Network-LSA 也 不 再 包含 网 络 地 址 ， 而 只 是 简单 地 表示 拓扑 信息 。 

邻居 路 由 器 的 识别 将 一 直 使 用 Router ID ， 而 不 是 像 OSPFv2 一 样 在 某 些 使 用 端口 会 将 端 
口 地 址 作为 标识 。 

Link-Local 地 址 可 以 作为 OSPF 的 转发 地 址 。 除 了 Virtual link 必须 使 用 Global unicast 地 
址 或 者 使 用 Site-local 地 址 。 

去 掉 了 认证 信息 。 在 OSPF v3 中 不 再 有 认证 方面 的 信息 。 如 果 需 要 加 密 ， 可 以 使 用 IPv6 
中 定义 的 IP Authentication Header 来 实现 。 

OSPF 数据 包 格 式 发 生 了 一 些 变化 : 

OSPF 的 版 本 号 由 2 变 成 了 3; 

Hello 包 和 Database description 包 的 选项 域 增加 到 24 位 ; 

去 掉 了 认证 域 ; 

Hello 信息 中 不 再 包含 地 址 信息 ; 

引入 了 两 个 新 的 选项 : R 位 和 V6 位 ; 

为 实现 单 链 路 上 多 OSPF 进程 ， 在 OSPF 包头 中 加 入 了 Instance ID 域 ; 

类 型 LSA 3 名 字 改 为 : Inter-Area-Prefix-LSA， 类 型 LSA 4 名 字 改 为 : Inter-Area-Router- 
LSA。OSPF v2 和 OSPF v3 都 使 用 最 短路 径 优先 算法 ， 在 Area 划分 、 链 路 类 型 、LSA 传播 等 
方面 基本 一 致 。 

总 的 来 说 ， 由 于 OSPF 发 展 成 熟 ， 文 持 厂 商 广泛 ， 已 经 成 为 世界 上 使 用 最 广泛 的 ICP， 
其 在 企业 级 网 络 ， 也 是 正 TF 推荐 的 唯一 的 IGP。 其 他 路 由 协议 所 能 适应 的 网 络 ，OSPF 都 
适应 。 

(2) 域 间 路 由 协议 选择 

域 间 路 由 协议 采用 BGP4 + ， 从 而 实现 不 同 ISP 核心 网 络 之 间 的 互通 ， 而 且 目 前 大 多 数 
典型 的 路 由 器 设备 都 支持 这 个 协议 。BGP4 + 处 理 各 ISP 间 的 路 由 传递 ， 是 一 种 域 间 路 由 协 
议 。 其 特点 是 有 丰富 的 路 由 策略 ， 这 是 RIPng、OSPFv3 等 协议 无 法 做 到 的 ， 因 为 它们 需要 
全 局 的 信息 计算 路 由 表 。BGP4 + 通过 在 ISP 边界 路 由 器 上 增加 一 定 的 策略 ， 选 择 过 滤 路 由 ， 
把 RIPng、OSPFv3 、BGP4 + 等 路 由 发 送 到 对 方 。 随 着 IPv6 网 络 的 大 量 组 建 ，BCP4 + 将 得 到 
越 来 越 多 的 应 用 。 

(3) IPv6 路 由 规划 建议 

以 高 效 接 入 IPv6 为 例 ， 相 比 CERNET2 核心 网 和 城 域 网 ， 驻 地 网 (校园 网 ) 内 部 的 
IPv6 网 络 的 路 由 规划 较为 简单 。ICP 可 以 选择 ISISv6 或 者 O0SPFv3 ， 但 是 考虑 到 使 用 者 的 习 
惯 ， 大 多 数 三 层 交 换 机 不 支持 ISISv6 路 由 ， 以 及 必要 性 ， 部 署 OSPFv3 可 能 更 为 实际 。0S- 
PFv3 域 的 设计 可 以 沿用 OSPFY2 的 思路 。 

新 建 校园 网 全 网 部 署 双 协 议 栈 ，IPv4 部 分 和 原 有 校园 网 平滑 对 接 。 三 层 设备 上 同时 运 
行 OSPFv2 和 OSPFv3 两 套 协 议 ， 尺 管 运 行 在 同一 个 设备 上 ， 这 两 套 协议 是 互相 独立 的 。0S- 
PFv3 的 逻辑 拓扑 图 (AREA 规划 ) 和 OSPFv2 可 以 完全 不 同 。 
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在 校园 网 IPv6 出 口 的 路 由 规划 上 ， 按 照 国际 上 IPv6 地 址 的 分 配 规则 ，CERNET2 城 域 网 
会 分 配 一 块 或 几 块 IPv6 PREFIX ::/48 的 地 址 给 校园 网 。 对 于 单 出 口 的 情况 ， 可 能 较为 简 
单 。CERNET2 城 域 网 接 和 路 由 嚣 将 指向 驻地 网 〈 校 园 网) 的 静态 路 由 引入 到 IBGP4 + 中 
> 


1.4.5 子 网 划分 与 VLAN 


一 个 网 络 实际 上 可 能 会 有 多 个 物理 网 段 ， 我 们 把 这 些 网 段 称 为 子 网 ， 其 使 用 的 卫 地 址 
是 由 某 个 网 络 号 派生 而 得 到 的 。 将 一 个 网 络 划 分 成 寿 干 个 子 网 ， 需 要 使 用 不 同 的 网 络 号 或 子 
网 号 。 

在 划分 子 网 之 前 ， 要 先 分 析 一 下 用 户 需求 以 及 将 来 的 规划 。 一 般 情况 下 我 们 遵循 这 样 的 
准则 : 

1) 确定 网 络 中 的 物理 段 数量 ( 就 是 子 网 个 数 ) 。 

2) 确定 每 个 子 网 需要 的 主机 数 。 注 意 ， 一 个 主机 至 少 一 个 IP 地 址 。 

3) 基于 此 需求 ， 定 义 整 个 网 络 的 子 网 屏蔽 、 每 个 子 网 唯一 的 子 网 号 和 每 个 子 网 的 主机 
范围 。 

在 定义 一 个 子 网 屏蔽 之 前 ， 确 定 一 下 将 来 需要 的 子 网 数量 及 子 网 的 主机 数 是 必 不 可 少 的 
一 步 。 因 为 当 更 多 的 位 用 于 子 网 屏蔽 时 ， 就 有 更 多 的 可 用 子 网 ， 但 每 个 子 网 中 的 主机 数 将 减 
少 (这 和 定义 IP 地 址 的 概念 正好 相反 )。 

VLAN (Virtual Local Area Network) 即 虚 拟 局 域 网 ， 是 一 种 通过 将 局 域 网 内 的 设备 逻辑 
地 而 不 是 物理 地 划分 成 一 个 个 网 段 从 而 实现 虚拟 工作 组 的 新 兴 技 术 。IEEE 于 1999 年 颁布 了 
用 以 标准 化 VLAN 实现 方案 的 802. 1Q 协议 标准 草案 。VLAN 技术 允许 网 络 管理 者 将 一 个 物 
理 的 LAN 人 逻辑 地 划分 成 不 同 的 广播 域 (或 称 虚 拟 LAN， 即 VYLAN) ， 每 一 个 VLAN 都 包含 一 
组 有 着 相同 需求 的 计算 机 工作 站 ， 与 物理 上 形成 的 LAN 有 着 相同 的 属性 。 但 由 于 它 是 逻辑 
地 而 不 是 物理 地 划分 ， 所 以 同一 个 VLAN 内 的 各 个 工作 站 无 须 被 放置 在 同一 个 物理 空间 里 ， 
即 这 些 工作 站 不 一 定 属 于 同一 个 物理 LAN 网 段 。 一 个 VLAN 内 部 的 广播 和 单 播 流量 都 不 会 
转发 到 其 他 VLAN 中 ， 从 而 有 助 于 控制 流量 、 减 少 设备 投资 、 人 简化 网 络 管理 、 提 高 网 络 的 安 
全 性 。VLAN 是 为 解决 以 太 网 的 广播 问题 和 安全 性 而 提出 的 一 种 协议 ， 它 在 以 太 网 帧 的 基础 
上 增加 了 VLAN 头 ， 用 VLAN ID 把 用 户 划 分 为 更 小 的 工作 组 ， 限 制 不 同 工 作 组 间 的 用 户 二 
层 互 访 ， 每 个 工作 组 就 是 一 个 虚拟 局 域 网 。 虚 拟 局 域 网 的 好 处 是 可 以 限制 广播 范围 ， 并 能 够 
形成 虚拟 工作 组 ， 动 态 管理 网 络 。 

VLAN 在 交换 机 上 的 实现 方法 ,可 以 大 致 划分 为 4 类。 

1. 基于 端口 划分 的 VLAN 

这 种 划分 VLAN 的 方法 是 根据 以 太 网 交换 机 的 端口 来 划分 ， 比 如 交换 机 的 1 ~4 端口 为 
VLAN 10, 5 ~17 为 YLAN 20，18 ~24 为 VLAN 30。 当 然 ， 这 些 属于 同一 VLAN 的 端口 可 以 
不 连续 ， 如 何 配 置 ， 由 管理 员 决 定 。 如 果 有 多 个 交换 机 ， 例 如 ， 可 以 指定 交换 机 1 的 1~6 
端口 和 交换 机 2 的 1~4 端口 为 同一 VLAN， 即 同一 VLAN 可 以 跨越 数 个 以 太 网 交换 机 ， 根 
据 端口 划分 是 目前 定义 VLAN 的 最 广泛 的 方法 。IEEE 802. 1Q 规定 了 依据 以 太 网 交换 机 的 端 
口 来 划分 VLAN 的 国际 标准 。 

这 种 划分 方法 的 优点 是 定义 VLAN 成 员 时 非常 简单 ， 只 要 将 所 有 的 端口 都 指定 一 下 就 可 
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以 了 。 它 的 缺点 是 如 果 VLAN A 的 用 户 离开 了 原来 的 端口 ， 到 了 一 个 新 的 交换 机 的 某 个 端 
口 ， 那 么 就 必须 重新 定义 。 

2. 基于 MAC 地 址 划分 VLAN 

这 种 划分 VLAN 的 方法 是 根据 每 个 主机 的 MAC 地 址 来 划分 ， 即 对 每 个 MAC 地 址 的 主机 
都 配置 其 属于 哪个 组 。 这 种 划分 VLAN 方法 的 最 大 优点 就 是 当 用 户 物理 位 置 移动 时 ， 即 从 一 
个 交换 机 换 到 其 他 的 交换 机 时 ，VLAN 不 用 重新 配置 ， 所 以 ， 可 以 认为 这 种 根据 MAC 地 址 
的 划分 方法 是 基于 用 户 的 VLAN。 

这 种 方法 的 缺点 是 初始 化 时 ， 所 有 的 用 户 都 必须 进行 配置 ， 如 果 有 几 百 个 甚至 上 千 个 用 
户 的 话 ， 配 置 是 非常 累 的 。 而 且 这 种 划分 的 方法 也 导致 了 交换 机 执行 效率 的 降低 ， 因 为 在 每 
一 个 交换 机 的 端口 都 可 能 存在 很 多 个 VLAN 组 的 成 员 ， 这 样 就 无 法 限制 广播 包 了 。 另 外 ， 对 
于 使 用 笔记 本 电脑 的 用 户 来 说 ， 他 们 的 网 卡 可 能 经 常 更 换 ， 这 样 VLAN 就 必须 不 停 地 配置 。 

3. 基于 网 络 层 划分 VLAN 

这 种 划分 VLAN 的 方法 是 根据 每 个 主机 的 网 络 层 地 址 或 协议 类 型 (如果 支持 多 协议 ) 
划分 的 ， 虽然 这 种 划分 方法 是 根据 网 络 地 址 ， 比 如 IP 地 址 ， 但 它 不 是 路 由 ， 与 网 络 层 的 路 
由 毫 无 关系 。 它 虽然 查看 每 个 数据 包 的 IP 地 址 ， 但 由 于 不 是 路 由 ， 所 以 没有 RIP、OSPF 等 
路 由 协议 ,而 是 根据 生成 树 算 法 进行 桥 交 换 。 

这 种 方法 的 优点 是 用 户 的 物理 位 置 改变 了 ,不 需要 重新 配置 所 属 的 YLAN ， 而 且 可 以 根 
据 协 议 类 型 来 划分 VLAN， 这 对 网 络 管理 者 来 说 很 重要 。 还 有 这 种 方法 不 需要 附加 的 帧 标签 
来 识别 VLAN， 可 以 减少 网 络 的 通信 和 量 。 其 缺点 是 效率 低 ， 因 为 检查 每 一 个 数据 包 的 网 络 层 
地 址 是 需要 消耗 处 理 时 间 的 (相对 于 前 面 两 种 方法 )， 一般 的 交换 机 芯片 都 可 以 自动 检查 网 
络 上 数据 包 的 以 太 网 帧 头 ， 但 要 让 芯片 能 检查 IP 帧 头 ， 需 要 更 高 的 技术 ， 同 时 也 更 费时 。 
这 也 与 各 个 厂商 的 实现 方法 有 关 。 

4. 根据 IP 组 播 划分 VLAN 

IP 组 播 实际 上 也 是 一 种 VLAN 的 定义 ， 即 认为 一 个 组 播 就 是 一 个 VLAN ， 这 种 划分 的 方 
法 将 VLAN 扩大 到 了 广域网 ， 因 此 这 种 方法 具有 更 大 的 灵活 性 ， 而 且 也 很 容易 通过 路 由 器 进 
行 扩 展 。 当 然 这 种 方法 不 适合 局 域 网 ， 主 要 因为 是 效率 不 高 。 


1.4.6 ”网络 Internet 出 口 设计 


网 络 出 口 工作 在 网 络 的 边缘 ， 是 内 部 网 络 与 Internet 之 间 的 桥梁 。 出 口 设备 主要 包含 三 
类 : 路 由 器 类 、 防 火 墙 类 、 流 量 控制 类 。 从 出 口 设 备 所 启用 和 所 关注 的 功能 来 看 : 

功能 上 ，NAT (Network Address Translation ， 网 络 地 址 转换 ) 转发 ， 路 由 处 理 是 最 基本 
的 。 针 对 多 出 口 ， 策 略 路 由 也 是 必 备 功能 。 

性 能 上 ，NAT (网 络 地 址 转换 ) 和 策略 路 由 是 大 型 园区 网 络 现 有 出 口 设备 的 瓶颈 所 在 。 
其 次 是 安全 防护 能 力 ， 不 具备 包含 出 口 日 志 的 记录 能 

因此 ， 对 于 一 个 大 型 网 络 的 出 口 ， 必 须要 文 持 的 功能 是 NAT、 策 略 路 由 、 安 全 防护 。 
NAT 可 以 完成 园区 内 部 网 络 私 有 IP 地 址 向 公 网 IP 地 址 的 转换 ; 策略 路 由 能 实现 园区 内 部 网 
络 的 路 由 转发 和 Internet 的 连接 ; 安全 防护 主要 体现 在 防火 墙 DMZ (Demilitarized zone ， 隔 
离 区 ) 区 的 设计 ， 必 须要 具有 防火 墙 的 功能 。 

国内 知名 网 络 广 家 锐 捷 网 络 在 大 型 园区 网 络 Internet 出 口上 提供 了 非常 完备 的 解决 方 
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案 ， 如 图 1-9 所 示 。 在 出 口 设计 上 采用 宛 余 设计 思路 。RG-NPE (Network outPut Engine， 网 
络 出 口 引擎 ) 系列 产品 (简称 NPE) ， 是 锐 捷 网 络 针对 国内 网 络 出 口 状况 研发 的 专用 设备 。 
NPE 基于 多 核 处 理 器 技术 进行 架构 ， 具 备 高 性 能 转发 、 内 骨 状 态 防火 墙 、 日 志 记 录 等 功能 。 
此 外 ，NPE 针对 国内 普遍 存在 的 NAT 进行 优化 ， 并 发 会 话 和 新 建 会 话 能 力 在 业内 首届 一 指 。 
NPE 产品 全 新 融入 了 智能 DNS 和 多 链 路 负载 均衡 技术 ， 使 得 用 户 对 内 对 外 访问 都 能 智能 选 
择 最 优 、 最 快速 的 路 径 ; 集成 了 DPI 引擎 ， 让 网 络 管理 者 轻松 应 对 P2P 等 应 用 的 流量 控制 ; 
重 构 了 Web 界面 ， 让 NPE 网 络 出 口 引 擎 在 设备 管理 维护 层面 变 得 简化 。 作 为 网 络 出 口 的 专 
用 设备 ，NPE 系列 产品 已 经 广泛 应 用 于 政府 机 关 、 高 校 、 普 教 、 医 疗 等 各 个 行业 。 
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图 1-9 校园 网 出 口 解 决 方案 示例 


1.5 园区 网 络 物理 设计 


1.5.1 网 络 传输 介质 的 选择 


组 建 计算 机 网 络 ， 最 关键 的 是 选择 采用 什么 样 的 传输 介质 和 网 络 连接 设备 ， 这 些 选 择 不 
仅 关系 到 计算 机 网 络 的 性 能 ， 而 且 关 系 到 组 建 网 络 的 成 本 。 一 般 对 网 络 传输 介质 的 选择 ， 要 
基于 综合 布线 系统 设计 方案 来 决定 。 没 有 特殊 需求 的 网 络 ， 都 会 采用 市 场 上 十 分 常见 而 且 性 
价 比 不 错 的 传输 介质 产品 。 常 用 的 传输 介质 有 : 双 绞 线 、 同 轴 电 缆 、 光 纤 、 无 线 传输 媒介 。 

双 绞 线 有 UTP 和 STP 两 种 ， 非 屏蔽 双 绞 线 (UTP) 可 分 为 3 类 、4 类 、5 类 和 超 5 类 、 
6 类 等 多 种 。 屏 蔽 双 绞 线 (STP) 可 又 分 为 3 类 、5 类 、 超 5 类 等 多 种 。3 类 线 用 于 语音 传输 
及 最 高 传输 速率 为 10Mbit/s 的 数据 传输 ; 4 类 线 和 5 类 线 用 于 语音 传输 和 最 高 传输 速率 为 
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16Mpit/s 的 数据 传输 ; 超 5 类 线 和 6 类 线 用 于 语音 传输 和 最 高 传输 速率 为 1000Mbit/s 的 数据 
传输 。 

光纤 又 称 为 光缆 或 光 导 纤 维 ， 由 光 导 纤维 纤 芯 、 玻 璃 网 层 和 能 吸收 光线 的 外 壳 组 成 ， 是 
由 一 组 光 导 纤维 组 成 的 用 来 传播 光束 的 、 细 小 而 柔韧 的 传输 介质 。 应 用 光学 原理 ， 由 光 发 送 
机 产生 光束 ， 将 电信 号 变 为 光 信 号 ， 再 把 光 信 号 导入 光纤 ， 在 男 一 端 由 光 接 收 机 接收 光纤 上 
传 来 的 光 信号 ， 并 把 它 变 为 电信 号 ， 经 解码 后 再 处 理 。 与 其 他 传输 介质 比较 ， 光 纤 的 电磁 绝 
缘 性 能 好 、 信 号 衰减 小 、 频 带宽 、 传 输 速度 快 、 传 输 距离 大 。 主 要 用 于 要 求 传输 距离 较 长 、 
布线 条 件 特殊 的 主干 网 连接 。 具 有 不 受 外 界 电磁 场 的 影响 、 无 限制 的 带宽 等 特点 ， 可 以 实现 
每 秒 几 十 兆 位 的 数据 传送 ， 尺 寸 小 、 重 量 轻 ， 数 据 可 传送 几 百 千 米 ， 但 价格 昂贵 。 单 模 光 纤 
由 激光 作 光 源 ， 仅 有 一 条 光 通 路 ， 传 输 距 离 长 (2km 以 上 ) 。 多 模 光 纤 由 二 极 管 发 光 ， 低 速 
短 距 离 (2km 以 内 ) 。 

无 线 传输 媒介 包括 : 无 线 电 波 、 微 波 、 红 外 线 等 。 

在 实际 局 域 网 组 网 工程 中 主要 使 用 的 是 单 模 或 多 模 光 绕 和 双 绞 线 作 为 传输 介质 。 限 于 成 
本 方面 的 考虑 ， 一 般 使 用 超 五 类 双 绞 线 。 不 过 六 类 双 绞 线 价格 下 降 了 ， 也 得 到 了 大 量 应 用 。 


1.5.2 结构 化 布线 


建筑 物 结 构 化 综合 布线 系统 (SCS) 又 称 开 放 式 布线 系统 ， 是 一 种 在 建筑 物 和 建筑 群 中 
综合 数据 传输 的 网 络 系统 。 它 是 把 建筑 物 内 部 的 话音 交换 、 智 能 数据 人 处理 设备 及 其 他 广义 的 
数据 通信 设施 相互 连接 起 来 ， 并 采用 必要 的 设备 同 建筑 物 外 部 数据 网 络 或 电话 局 线路 相连 
接 。 结 构 化 布线 系统 是 根据 各 节点 的 地 理 分 布 情况 、 网 络 配置 情况 和 通信 要 求 ， 安 装 适 当 的 
布线 介质 和 连接 设备 ， 使 整个 网 络 的 连接 、 维 护 和 管理 变 得 简单 易 行 。 

综合 布线 系统 由 于 采用 开放 式 体 系 结构 ， 符 合 多 种 国际 上 流行 的 标准 ， 因 此 它 儿 乎 对 所 
有 著名 厂商 的 产品 都 是 开放 的 ， 如 IBM、HP、DEC、SUN 的 计算 机 设备 ，AT&T 、NT、NEC 
等 的 交换 机 设备 。 并 对 几乎 所 有 通信 协议 也 是 开放 的 ， 如 EIA-232-D 、RS-422 、RS-423 、 
ETHERNET 、TOKENRING 、FDDI、CDDE 、ISDN 、ATM 等 。 

综合 布线 系统 应 用 极 富 弹性 的 布线 概念 ， 采 用 光纤 与 双 绞 线 混 布 方式 ， 极 为 合理 地 构成 
一 套 完整 的 布线 系统 。 所 有 布线 均 采用 世界 上 最 新 通信 和 标准， 信息 通道 均 按 B-ISDN 设计 标 
准 ， 按 八 芯 双 绞 线 配置 ， 通 过 超 5 类 双 绞 线 ， 数 据 最 大 速率 可 达到 100 ~ 1000Mbit/s， 对 于 
特殊 用 户 需求 可 把 光纤 铺 到 桌面 (Fiber-to the Desk ) 。 干 线 光 缆 可 设计 为 1000Mbit/s 带宽 ， 
为 将 来 的 发 展 提供 了 足够 的 裕 量 。 通 过 主干 通道 可 同时 传输 多 路 实时 多 媒体 信息 ， 同 时 物理 
星 形 的 布线 方式 为 将 来 发 展 交 换 式 的 网 络 黄 定 了 坚实 基础 。 


1.5.3 设备 选 型 


在 网 络 设计 中 ， 常 见 网 络 设备 主要 是 指 交 换 机 、 路 由 器 、 无 线 访问 点 和 无 线 网 桥 。 其 中 
主要 以 交换 和 路 由 应 用 范围 最 广 。 依 据 不 同 层次 ， 可 以 选择 不 同类 型 的 设备 ， 如 接 人 层 交 换 
机 、 核 心 层 交 换 机 等 。 

1. 网 络 设备 选择 标准 

通常 选择 网 络 设备 时 可 参考 如 下 性 能 指标 项 : 

e 并 口 数 ; 
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e 处 理 速 度 ; 

e 内 存 大 小 ; 

e 设备 中 继 数据 时 的 延迟 ; 

e 设备 中 继 数据 时 的 吞吐 量 ; 

® 文 持 的 LAN 和 WAN 技术 ; 

e 文 持 的 媒介 ; 

e 另 于 配置 和 管理 ; 

® MTBF 和 MTTR ; 

e 文 持 热 交换 组 件 ; 

e 文 持 见 余 电源 ; 

e 技术 文 持 质量 、 文 档 和 培训 等 。 

对 于 交换 机 和 网 桥 设备 ， 可 增加 如 下 标准 : 

e 文 持 的 网 桥 协 议 ; 

e 是 否 文 持 高 级 生成 树 算法 ; 

e 可 以 学 习 的 MAC 地 址 数量 ; 

e 是 否 文 持 端 口 特性 (802. 1x); 

e 是 否 文 持 直 通 式 交换 ，; 

e 是 否 文 持 可 适应 的 直通 式 交 换 ; 

e 文 持 的 VLAN 技术 ; 

e 是 否 文 持 组 播 应 用 。 

对 于 路 由 器 设备 〈 包 括 带路 由 选择 模块 的 交换 机 ) ， 可 以 增加 如 下 标准 : 

e 文 持 的 网 络 协议 ; 

e 文 持 的 路 由 选择 协议 ; 

e 是 否 文 持 组 播 应 用 ; 

e 是 否 文 持 先 进 的 队列 、 交 换 技 术 和 其 他 的 优化 特性 ; 

e 是 否 文 持 压缩 ; 

e 是 否 文 持 加 密 。 

2. 不 同 层次 交换 机 的 选择 

工作 组 交换 机 采用 可 网 管 交 换 机 ， 实 现 对 每 台 接 入 计算 机 的 控制 ， 实现 VLAN (虚拟 
网 ) 的 划分 ， 确 保 最 大 限度 的 网 络 访问 安全 。 骨 干 交 换 机 采用 拥有 千 兆 端口 的 可 网 管 交换 
机 实现 与 中 心 交 换 机 的 高 速 连接 ， 避 人 免 可 能 产生 的 网 络 瓶 贷 。 汇 聚 交换 机 采用 三 层 交 换 机 ， 
实现 VLAN 间 的 线 速 转发 ， 并 借助 访问 列表 控制 计算 机 接 入 和 网 络 服务 ,搭建 高 安全 性 和 可 
用 性 网 络 。 

因 交 换 机 文 持 端口 较 多 ， 同 时 价格 较 路 由 顺便 宜 ， 因 此 园区 网 主要 是 以 交换 机 为 主 。 下 
面 以 Cisco 交换 机 设备 为 例 ， 给 出 接 入 层 、 汇 聚 层 、 核 心 层 的 常用 设备 。 

(1) 接 入 层 交 换 机 

接 入 层 交 换 机 负责 将 终端 节点 设备 连接 到 网 络 ， 因 此 需要 支持 端口 安全 功能 、VLAN.、 
快速 以 太 网 / 千 兆 以 太 网 、Pok 和 链接 组 合 等 功能 。 

1 ) Catalyst Express 500 适用 于 端口 密度 不 高 的 接 人 层 。 
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2) Catalyst 2960 系列 适用 于 供电 不 便 ， 空 间 有 限 的 接 入 层 。 

3) Catalyst 3560 适合 用 做 小 企业 LAN 接 人 或 分 文 机 构 融 合 网 络 环境 中 的 接 人 层 。 

4) Catalyst 3750 适合 用 做 中 型 结构 和 企业 分 支 机 构 中 的 接 入 层 。 

(2) 汇聚 层 交 换 机 

汇聚 层 需 文 持 流 量 安全 策略 管理 、VLAN 路 由 、ACL、QoS、 链 路 聚合 等 功能 。 如 Cata- 
lyst 3500 、4500 、4900 系列 设备 。 

(3) 核心 层 交 换 机 

核心 层 交 换 机 要 求 在 可 用 性 、 链 路 聚合 、 高 速 转发 、QoS 方面 具有 较 高 的 性 能 ， 如 Cat- 
alyst 4500 、6500 、7200 系列 设备 。Cisco 的 Linksys WRT300N 可 作为 小 企业 或 家 庭 用 户 的 无 
线 接 入 设备 。 

3. 路 由 器 的 选择 

就 企业 局 域 网 网 络 而 言 ， 由 于 大 量 的 数据 都 发 生 在 局 域 网 内 部 ， 对 路 由 器 的 性 能 要 求 不 
高 ， 因 此 可 以 选用 中 低 端 路 由 器 。 低 端 路 由 器 主要 适用 于 中 小 办 公 网 络 ， 考 虑 的 一 个 主要 因 
素 是 端口 数量 ， 另 外 还 要 看 包 交 换 能 力 。 中 端 路 由 器 适用 于 大 中 型 办 公 网 络 ， 选 用 的 原则 也 
是 考虑 端口 文 持 能 力 和 包 交 换 能 

当前 路 由 喜 的 分 类 方法 各 异 ， 从 能 力 上 分 ， 路 由 器 可 分 为 高 端 路 由 器、 中 端 路 由 右 和 低 
端 路 由 器 。 各 厂家 划分 也 不 完全 一 致 。 通 党 将 背 板 交换 能 力 大 于 40Gbivs 的 路 由 器 称 为 高 
端 路 由 器 ， 之 下 的 为 中 低 端 路 由 器 。 以 思科 〈Cisco) 公司 为 例 ，Cisco 12800 路 由 融 为 高 端 
路 由 右 ，7500 以 下 系列 路 由 器 为 中 低 端 路 由 器 。 

从 结构 上 分 ， 路 由 器 可 分 为 模块 化 结构 与 非 模 块 化 结构 ， 通 和 常 中 高 端 路 由 器 为 模块 化 结 
构 ， 低 端 路 由 需 为 非 模块 化 结构 。 

从 功能 上 分 ， 路 由 右 可 分 为 通用 路 由 器 与 专用 路 由 器 ， 一 般 所 指 的 路 由 器 都 是 通用 路 由 
器 ， 专 用 路 由 器 是 对 硬件 和 功能 有 特殊 要 求 的 路 由 器 ， 如 宽带 接 和 路 由 需 强调 宽带 接口 数量 
及 种 类 。 

从 路 由 璐 在 网 络 中 的 位 置 划分 ,路 由 器 可 分 为 核心 路 由 器 企业 级 路 由 硕 和 接 和 人 路 由 顺 等 。 

4. 防火 墙 的 选择 

防火 墙 有 软件 防火 墙 和 硬件 防火 墙 两 种 。 软 件 防火 墙 是 安装 在 计算 机 平台 的 软件 产品 ， 
它 通 过 在 操作 系统 底层 工作 来 实现 网 络 管理 和 防御 功能 的 优化 。 硬 件 防 火 墙 的 硬件 和 软件 都 
单独 进行 设计 ， 有 专用 网 络 世 片 处 理 数据 包 。 同 时 ， 采 用 专门 的 操作 系统 平台 ， 从 而 避免 通 
用 操作 系统 的 安全 性 漏洞 。 硬 件 防 火 墙 分 为 包 过 滤 防 火 墙 、 应 用 网 关 防火 墙 和 规则 检查 防火 
墙 。 对 于 企业 网 络 而 言 ， 通 稼 应 当选 择 包 过 泪 防 火 墙 。 

防火 墙 的 分 类 有 很 多 种 方法 ,通常 以 软 、 人 硬件 构成 来 划分 。 按 防火 墙 软 、 硬 件 形式 可 分 
为 软件 防火 墙 和 硬件 防火 墙 以 及 蕊 片 级 防火 增 。 

(1) 软件 防火 墙 

软件 防火 墙 又 称 个 人 防火 墙 ， 运 行 于 特定 的 计算 机 上 ， 它 需要 客户 预先 安装 好 的 计算 机 
操作 系统 的 支持 ， 一 般 来 说 这 台 计 算 机 就 是 整个 网 络 的 网 关 。 如 美国 飞 塔 公司 的 Web 应 用 
防火 墙 、 天 网 防火 墙 、 瑞 星 防火 墙 等 。 

(2) 硬件 防火 墙 

人 硬件 防火 墙 是 区 别 于 专用 处 理 芯 片 的 防火 墙 。 人 硬件 防火 墙 是 把 软件 防火 墙角 入 在 硬件 
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中 ,一 般 的 软件 安全 厂商 所 提供 的 硬件 防火 墙 便 是 在 硬件 服务 絮 厂 商定 制 硬件 ， 然 后 再 把 
Linux 系统 与 自己 的 软件 系统 舱 入 其 中 。 这 些 硬 件 主要 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ， 
最 常用 的 有 老 版 本 的 Unix、Linux 和 FreeBSD 系统 。 传 统 硬 件 防火 墙 一 般 至 少 应 具备 三 个 端 
口 ， 分 别 接 内 网 、 外 网 和 DMZ 区 〈 非 军事 化 区 ) 。 

(3) 心 瞩 级 防火 载 

芯片 级 防火 墙 基于 专门 的 硬件 平台 。 专 有 的 ASIC 芯片 促使 它们 比 其 他 种 类 的 防火 墙 速 
度 更 快 ， 处理 能 力 更 强 ， 性 能 更 高 。 一 些 代表 性 的 厂商 有 FortiNet( 飞 塔 ) 、Juniper( 瞻 博 )、 
Cisco( 思科 ) 等。 这 类 防火 墙 由 于 是 专用 0S( 操作 系统 )， 因 此 防火 墙 本 身 的 漏洞 比较 少 。 


1.5.4 ”网络 弱 电机 房 设计 与 施工 


网 络 弱电 机 房 是 一 个 非常 复杂 的 环境 ， 必 须 满 足 适 宜 的 温 湿 度 、 无 侍 、 无 静电 等 奇 刻 条 
件 ， 同 时 弱电 机 房 安全 也 很 重要 ， 因 此 在 设计 时 需要 特别 注意 。 弱 电机 房 方 案 设计 主要 是 从 
以 下 几 个 方面 来 分 析 : 弱电 机 房 供电 系统 设计 、 弱 电机 房 空 调 系统 设计 、 弱 电机 房 防 雷 接地 
系统 设计 、 弱 电机 房 监 控 系 统 设计 、 弱 电机 房 消防 系统 设计 。 这 几 个 主要 的 子 系统 ， 必 须 充 
分 设计 好 。 还 有 要 充分 考虑 机 房 的 装修 工程 、 综 合 布线 工程 。 

1. 弱电 机 房 方 案 设计 标准 

设计 弱电 机 房 时 必须 严格 遵循 国家 出 台 的 相关 标准 ， 我 国 最 新 出 台 的 标准 是 : 

国家 标准 《电子 信息 系统 机 房 设计 规范 》( GB50174-2008) 

国家 标准 《电子 信息 系统 机 房 施工 及 验收 规范 》 (GB50462-2008) 

2. 弱电 机 房 供 电 系 统 设计 

一 个 弱电 机 房 能 够 正常 工作 ， 不 仅 需 要 有 良好 的 主 设备 和 安全 舒适 的 工作 环境 ， 还 需要 
有 一 个 设计 合理 、 可 徘 性 高 的 供 配 电 系 统 。 

一 般 弱 电机 房 供 电 系 统 解决 方案 分 为 两 部 分 : 一 是 在 前 端 交 流 电源 引入 两 路 市 电 ， 有 条 
件 时 可 加 设 发 电机 ， 成 为 多 路 供电 ， 提 高 供电 可 靠 性 ; 二 是 在 机 房 里 设 不 间断 电源 UPS， 附 
设 一 定 的 直流 电池 组 作为 后 备 电 源 ， 即 可 保证 供电 。 前 者 是 传统 的 提高 供电 可 靠 性 的 方式 ， 
后 者 是 近年 来 随 着 信息 技术 飞速 发 展 而 越 来 越 广泛 应 用 的 方式 。 

现 有 两 种 UPS 供电 方式 可 供 选 择 : 一 为 在 线 式 ， 即 UPS 始终 在 供电 状态 ， 时 刻 都 在 工 
作 着 ，UPS 代替 了 市 电 为 计算 机 网 络 设备 供电 ; 二 为 后 备 式 ， 就 是 计算 机 网 络 设备 平时 供电 
依靠 市 电 ， 只 在 市 电 停电 时 才 立 即 转 而 由 UPS 供电 。 后 备 式 供 电 有 个 过 零 问 题 ， 即 当 市 电 
停电 时 ,无论 何 种 合 闸 方式 ， 都 避免 不 了 瞬间 无 电 问题 。 市 电 是 50Hz， 奔 腾 T PC 是 
500MHz 以 上 ， 显 然 ， 在 停电 的 一 瞬间 ， 计 算 机 可 能 丢失 数据 。 具 体 办 法 是 分 而 治之 : 奉 是 
正常 停电 ,事先 必 有 通知 ， 可 提前 将 UPS 投入 ; 大 是 故障 〈 短 路 、 接 地 ) 停电 ， 因 电感 上 
电流 不 能 跃 变 ， 电容 上 电压 不 能 跃 变 ,可 将 UPS 的 自动 接 入 设 定 为 小 于 跳 曾 电流 值 ， 即 在 
电路 断 开 前 ，UPS 就 已 接 和 人。 

UPS 电源 正 向 大 功率 、 低 噪声 、 智 能 化 、 网 络 化 方向 发 展 ， 而 这 正 是 中 央 机 房 所 需要 
的 。 大 功率 的 UPS 电源 多 具有 并 机 宛 余 功能 ， 新 出 现 的 热 插 拔 、 模 块 化 电池 阵列 进一步 提 
高 了 供电 可 靠 性 。 

3. 弱电 机 房 空调 系统 设计 

弱电 机 房 对 机 房 内 空气 的 制冷 、 制 热 、 加 湿 、 去 湿 、 滤 侍 有 严格 的 标准 要 求 ， 设 备 的 寿 
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命 与 工作 情况 与 这 些 标准 密切 相关 。 弱 电机 房 空调 应 选择 专用 机 房 精 密 空调 并 且 设 计 新 风 系 
统 。 空 调 送 风 方式 一 般 采 用 下 送 风 方式 。 

4. 弱电 机 房 防 雷 接地 系统 设计 

弱电 机 房 内 大 量 的 电子 设备 工作 电压 较 低 ， 精 密 设 备 较 多 ， 对 雷击 的 耐 受 能 力 较 差 ， 一 
旦 遭受 雷击 ， 往 往 损 失 巨 大 。 故 此 处 防 雷 等 级 较 高 ， 对 防范 各 种 雷击 的 措施 要 求 较 高 。 雷 击 
形式 多 种 ， 弱 电机 房 防 雷 措施 主要 针对 直击 雷 和 感应 雷 。 

弱电 机 房 接 地 系统 包括 防 雷 接地 、 交 流 工作 接地 、 直 流 接地 、PE 保护 接地 、 屏 蔽 接地 
及 防 静 电 接 地 等 系统 ， 后 三 者 可 互 连 。 弱 电机 房 的 防 雷 接地 方式 一 般 采 用 联合 接地 方式 ， 即 
防 雷 接地 、 保 护 接地 、 工 作 接地 等 均 直 接 与 接地 网 连接 ， 总 的 接地 电阻 应 小 于 19， 即 所 谓 
零 接 地 电阻 。 在 条 件 允 许 时 也 可 设置 专用 接地 装置 。 

5. 弱电 机 房 监控 系统 设计 

对 于 弱电 机 房 ， 我 们 考虑 采用 以 大 楼 闭路 监控 主机 为 主 的 安防 系统 ， 机 房 内 可 安装 少量 
彩色 半球 摄像 机 ， 用 于 视频 监控 。 

6. 弱电 机 房 消 防 系统 设计 

弱电 机 房 消 防 系 统 设计 包括 烟 感 报 警 、 气 体 灭火 两 部 分 。 烟 感 报警 以 吸 项 式 和 线 式 烟 感 
器 为 主要 形式 。 吸 顶 式 烟 感 咒 的 保护 半径 一 般 不 大 于 5.8m， 距 墙 、 风 口 、 大 粱 不 小 于 
0. 5m。 绕 式 烟 感 絮 可 沿 墙 敷设 。 必 须 通 过 机 房 的 风 管 在 过 墙 处 设置 防火 阀 ( 环境 温度 达到 
70C 时 自动 关闭 )。 气 体 灭 火 系 统 的 作用 类 似 于 普通 办 公 室 里 的 喷 淋 系统 ， 其 设计 要 点 有 系 
统 类 型 结构 的 选择 、 灭 火 剂 浓度 的 确定 、 气 体 喷射 时 间 、 灭 火 剂 用 量 及 浸渍 时 间 等 。 气 体 灭 
火 系 统 主要 是 二 氧化 碳 灾 火 系 统 及 而 代 烷 灭火 系统 。 此 外 ， 在 室内 附设 交 、 直 流 双 电源 应 急 
灯 、 火 灾 事 故 广播 、119 专线 消防 电话 、 火 灾 报 警 按钮 等 消防 设施 。 机 房 的 装修 材料 应 符合 























有 关 防 火 规范 的 要 求 。 
综 上 所 述 ， 弱 电机 房 需要 注意 多 方面 因素 ， 其 方案 要 按 规 范 要 求 进 行 设 计 。 


本 章 小 结 


本 草 主 要 从 概述 的 角度 ， 简 单 回顾 了 计算 机 网 络 和 局 域 网 的 基础 知识 。 

1) 给 出 了 园区 网 络 的 基本 概念 ， 并 对 大 型 园区 网 络 规划 与 设计 的 设计 原则 、 主 要 内 容 
进行 了 阐述 。 

2) 建设 大 型 园区 网 络 ， 首 要 工作 是 进行 需求 分 析 ， 对 需求 分 析 的 主要 内 容 进行 了 梳 
理 ， 明 确 了 需求 分 析 的 重点 工作 。 

3) 对 园区 网 络 的 建设 , 重点 工作 是 组 网 方案 。 对 大 型 园区 网 络 建设 的 性 能 目标 、 主 要 
建设 步 又 进行 了 分 析 ， 主 要 包括 综合 布线 系统 设计 、 网 络 弱 电机 房 设 计 以 及 网 络 系统 集成 方 
案 设 计 等 。 

4) 对 大 型 园区 网 络 组 网 方案 中 逻辑 设计 、 卫 地 址 规划 分 配 、 子 网 划分 与 YLAN、Inter- 
net 出 口 方案 设计 等 进行 了 介绍 。 

5) 对 大 型 园区 网 络 组 网 方案 中 物理 设计 、 结 构 化 布线 系统 、 网 络 设备 选 型 、 弱 电机 房 
设计 等 技术 要 点 进行 了 介绍 。 
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2.1 网 络 互 连 


2.1.1 网 络 互 连 的 基本 概念 


网 络 互 连 是 指 将 不 同 的 网 络 连接 起 来 ， 以 构成 更 大 规模 的 网 络 系统 ， 实 现 网 络 间 的 数据 
通信 、 资 源 共 享 和 协同 工作 。Jeffrey S. Beasley 在 他 的 经 典 著 作 《 网 络 互 连 》 中 给 出 了 网 络 
互 连 的 定义 ， 并 对 互联 互通 进行 了 较 好 的 辨析 。 

1) 互 连 (Interconnection) : 网 络 在 物理 上 的 连接 ， 两 个 网 络 之 间 至 少 有 一 条 在 物理 上 
连接 的 线路 ， 它 为 两 个 网 络 的 数据 交换 提供 了 物质 基础 和 可 能 性 ， 但 并 不 能 保证 两 个 网 络 一 
定 能 够 进行 数据 交换 ， 这 要 取决 于 两 个 网 络 的 通信 协议 是 不 是 相互 兼容 。 

2) 互联 (Internetworking) : 网 络 在 物理 和 逻辑 上 ， 尤 其 是 逻辑 上 的 连接 。 

3) 互通 (Intercommunication ) :两 个 网 络 之 间 可 以 交换 数据 。 

4) 互 操 作 (Interoperability) : 网 络 中 不 同 计算 机 系统 之 间 具 有 透明 地 访问 对 方 资源 的 
能 力 。 


2.1.2 网 络 互 连 的 目的 及 意义 


互连网 络 随 着 需要 而 发 展 ， 在 20 世纪 350 年 代 ， 计 算 机 刚刚 开始 出 现 的 时 候 ， 互 连 网 络 
根本 不 存在 ， 计 算 机 是 独立 的 和 私有 的 计算 工具 。 正 是 因为 美国 国防 部 军 方 对 数据 包 - 交 换 
广域网 设计 感 兴趣 并 且 用 于 军事 目的 ， 推 动 D A R PA 项 目 ， 并 建立 了 第 一 个 真正 意义 上 的 
互连网 络 ARPANet， 后 来 出 现 了 局 域 网 (LAN)、 广 域 网 (WAN)， 直 到 发 展 成 今天 大 规模 
的 互联 网 。 可 以 说 ， 是 网 络 应 用 需求 使 得 网 络 互 连 逐 步 发 展 起 来 。 

要 实现 网 络 互 连 ， 其 根本 就 是 要 解决 互通 和 互 操 作 性 两 个 问题 ， 否 则 互 连 是 不 可 能 实现 
的 。 我 们 知道 ， 正 是 基于 互 连 的 原因 ，0SI 标准 参考 模型 和 TCPZI 模型 逐步 被 设计 并 得 到 
了 应 用 ， 特 别 是 TCPZP 的 革命 性 的 诞生 ， 主 流 的 网 络 设备 发 展 到 几乎 所 有 设备 都 支持 TCP/ 
IP， 使 得 网 络 互 连 变 得 简单 方便 。 

因此 ， 网 络 互 连 的 目的 是 将 不 同 的 网 络 或 相同 的 网 络 用 互 连 设备 连接 在 一 起 形成 一 个 范 
围 更 大 的 网 络 ， 为 增加 网 络 性 能 以 及 从 安全 和 管理 方面 的 考虑 ， 将 原来 一 个 很 大 的 网 络 划分 
为 几 个 网 段 或 逻辑 上 的 子 网 ， 实 现 异种 网 之 间 的 服务 和 资源 共享 。 

异 构 网 络 (Heterogeneous Network) 是 由 不 同 制造 商 生 产 的 计算 机 、 网 络 设备 和 系统 组 
成 的 ， 大 部 分 情况 下 运行 在 不 同 的 协议 上 支持 不 同 的 功能 或 应 用 。 近 年 来 ， 寞 构 网 络 主要 是 
无 线 通 信和 领域 不 同 协 议和 设备 的 网 络 。 早 期 的 异 构 网 络 ， 是 指 并 不 是 基于 TCPAIP 来 设计 
的 网 络 设备 和 系统 ， 正 逐步 被 淘汰 ， 发 展 到 统一 为 卫 的 网 络 。 

网 络 互 连 的 目的 是 使 一 个 网 络 上 的 用 户 能 访问 其 他 网 络 上 的 资源 ， 使 不 同 网 络 上 的 用 户 
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互相 通信 和 交换 信息 。 这 不 仅 有 利于 资源 共享 ， 也 可 以 从 整体 上 提高 网 络 的 可 靠 性 。 随 着 商 
业 需 求 的 推动 ， 特 别 是 Internet 的 深入 人 心 ， 网 络 互 连 技术 成 为 实现 如 Internet 这 样 的 在 规 
模 网 络 通信 和 资源 共享 的 关键 技术 。 


2.1.3 网 络 互 连 的 基本 原理 


1. 网 络 互 连 的 要 求 

由 于 不 同 的 网 络 间 可 能 存在 设备 或 系统 使 用 不 同 的 网 络 协议 等 差异 ， 因 此 对 网 络 互 连 有 
如 下 要 求 : 

1) 在 网 络 之 间 提 供 一 条 链 路 ， 至 少 需要 一 条 物理 和 链 路 控制 的 链 路 。 若 不 存在 链 路 ， 
一 个 网 络 的 信息 就 不 可 能 传输 到 另 一 个 网 络 中 去 。 

2) 提供 不 同 网 络 节点 的 路 由 选择 和 数据 传送 。 

3) 提供 网 络 记 账 服务 ， 记 录 网 络 资源 使 用 情况 ， 提 供 各 用 户 使 用 网 络 的 记录 及 有 关 状 
态 信息 。 

4) 在 提供 网 络 互 连 时 ， 应 尽量 避免 由 于 互 连 而 降低 网 络 的 通信 性 能 。 

5) 不 修改 互 连 在 一 起 的 各 网 络 原 有 的 结构 和 协议 。 这 就 要 求 网 络 互 连 设备 应 能 进行 协 
议 转换 ， 协 调 各 个 网 络 的 不 同性 能 ， 这 些 性 能 包括 : 

QD 不 同 的 编 址 方式 : 每 个 网 络 有 不 同 的 端点 名 字 、 编 址 方法 、 寻 址 方式 和 目录 保持 方 
案 ， 需 要 提供 全 网 编 址 方法 和 目录 服务 。 

@) 不 同 的 最 大 分 组 长 度 : 在 互连网 络 中 ， 分 组 从 一 个 网 络 送 到 另 一 网 络 时 ， 往 往 需要 分 
成 几 部 分 ， 称 为 分 段 。 不 同 的 网 络 存 在 着 不 同 的 分 组 大 小 。 

@) 不 同 的 传输 速率 : 在 互连网 络 中 ， 不 同 网 络 的 传输 速率 可 能 不 同 。 

(不同 的 时 限 : 对 连接 的 传送 服务 总 要 等 待 回答 响应 ， 如 超时 后 仍 没有 接 到 响应 ， 则 需 
要 重 传 。 但 在 互连网 络 中 ， 数 据 传送 有 时 需要 经 过 多 个 网 络 ， 这 需要 更 长 时 间 ， 应 该 设 定 合 
适 的 超时 值 ， 以 防 不 必 要 的 重 传 。 

不 同 的 网 络 访问 机 制 ， 对 不 同 网 络 上 的 多 个 节点 ， 节 点 和 网 络 之 间 的 访问 机 制 可 以 是 
相同 的 ， 也 可 能 是 不 同 的 。 

(@) 差 错 恢复 : 各 个 网 络 有 不 同 的 差错 恢复 功能 。 互 连 网 络 的 服务 既 不 要 依赖 也 不 要 影响 
各 个 网 络 原来 的 差错 恢复 能 力 。 

GO 状态 报告 : 不 同 的 网 络 有 不 同 的 状态 报告 ， 对 互连网 络 还 应 该 提供 网 络 互 连 的 活动 信 









































息 。 
(@ 路 由 选择 技术 : 网 内 的 路 径 选 择 一 般 依 靠 各 个 网 特有 的 故障 检测 和 拥挤 控制 技术 。 而 
互连网 络 应 提供 不 同 网 络 之 间 进 行路 径 选择 的 能 

@@ 用 户 访问 控制 : 不 同 的 网 络 有 不 同 的 用 户 访问 控制 方法 ， 用 于 管理 用 户 对 网 络 的 访问 
权限 。 互 连 网 络 需要 具有 对 不 同 的 用 户 访问 权限 的 控制 能 

连接 和 无 连接 服务 : 不 同 的 网 络 可 能 提供 面向 连接 的 服务 ， 也 可 能 提供 无 连接 的 数据 
报 服 务 。 互 连 网 络 的 服务 不 应 该 依赖 于 原来 各 个 网 络 所 提供 的 服务 类 型 。 

当 源 网 络 发 送 分 组 到 目的 网 络 要 跨越 一 个 或 多 个 外 部 网 络 时 ， 这 些 性 能 差异 会 使 得 数据 
包 在 穿 过 不 同 网 络 时 产生 很 多 问题 。 网 络 互 连 的 目的 就 在 于 提供 不 依赖 于 原来 各 个 网 络 特性 
的 互连网 络 服务 。 
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2. 网 络 互 连 的 层次 
不 同 目的 的 网 络 互 连 可 以 在 不 同 的 网 络 分 层 中 实现 。 由 于 网 络 间 存 在 不 同 的 差异 ， 也 就 
需要 用 不 同 的 网 络 互 连 设备 将 各 个 网 络 连接 起 来 。 根 据 网 络 互 连 设备 工作 的 层次 及 其 所 支持 
的 协议 ， 可 以 将 网 间 设 备 分 为 中 继 























器 、 网 桥 、 路 由 器 和 网 关 ，0SI 七 网 关 

层 模型 网 络 互 连 如 图 2-1 所 示 。 从 - 
(1) 物理 层 于 
用 于 不 同 地 理 范 围 内 的 网 段 的 国生 

互 连 。 通 过 互 连 ， 在 不 同 的 通信 介 路 由 器 

质 中 传送 比特 流 ， 要 求 连接 的 各 网 网 桥 、 交 换 机 Er 

络 数据 传输 率 和 和 链 路 协议 必须 相 中 继 器 、 集 线 器 





同 。 

工作 在 物理 层 的 网 间 设 备 是 中 
继 器 、 集 线 需 

用 于 扩展 网 络 传输 的 长 度 ， 实 现 两 个 相同 的 局 域 网 段 间 的 电气 连接 。 它 仅仅 是 将 比特 流 
从 一 个 物理 网 段 复制 到 男 一 个 物理 网 段 ， 而 与 网 络 所 采用 的 网 络 协 议 ( 如 TCPAIP、IPX/ 
SPX 、NETBIOS 等 ) 无 关 。 物 理 层 的 互 连 协议 最 简单 ， 互 连 标准 主要 由 EIA、ITU-T、 正 FE 
等 机 构 制 定 。 集 线 器 就 是 多 端口 的 中 继 器 。 

(2) 数据 链 路 层 

用 于 互 连 两 个 或 多 个 同一 类 型 的 局 域 网 、 传 输 帧 。 工 作 在 数据 链 路 层 的 网 间 设 备 是 桥接 
器 (或 桥 ) 、 交 换 机 。 桥 可 以 将 两 个 或 多 个 网 段 互 连 ， 如 果 信 息 不 是 发 向 桥 所 连接 的 网 段 ， 
则 桥 可 以 过 滤 掉 ， 避 免 了 网 络 的 瓶颈。 局 域 网 的 连接 实际 上 是 MAC 子 层 的 互 连 ，MAC 桥 的 
标准 由 IEEE802 的 各 个 分 委员 会 开发 。 

(3) 网 络 层 

主要 用 于 广域网 的 互 连 。 网 络 层 互 连 解 决 路 由 选择 、 阻 塞 控 制 、 差 错 处 理 、 分 段 等 问 


图 2-1 OSI 七 层 模型 网 络 互 连 
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工作 在 网 络 层 的 网 间 设 备 是 路 由 器 、 第 三 层 交 换 机 。 

路 由 器 提供 各 种 网 络 间 的 网 络 层 接口 。 路 由 需 是 主动 的 、 智 能 的 网 络 节 点 ， 它 们 参与 网 
络 管理 ， 提 供 网 间 数 据 的 路 由 选择 ， 并 对 网 络 的 资源 进行 动态 控制 等 。 路 由 器 是 依赖 于 协议 
的 ， 它 必须 对 某 一 种 协议 提供 支持 ， 如 IP、IPX 等 。 路 由 器 及 路 由 协议 种 类 繁多 ， 其 标准 主 
要 由 ANSI 任务 组 X3S3. 3 和 ISOZIEC 工作 组 TC1ASC6AWG2 制定 。 

(4) 网 络 层 以 上 各 层 

用 于 在 网 络 层 以 上 各 高 层 之 间 进 行 不 同 协议 的 转换 ， 它 也 最 为 复杂 。 工 作 在 第 三 层 以 上 
的 网 间 设 备 称 为 网 关 ， 它 的 作用 是 连接 两 个 或 多 个 不 同 的 网 络 ， 使 之 能 相互 通信 。 这 种 
“不 同 ” 管 常 是 物理 网 络 和 高 层 协议 都 不 一 样 ， 网 关 必 须 提供 不 同 网 络 间 协议 的 相互 转换 。 
最 常见 的 是 将 某 一 特定 种 类 的 局 域 网 或 广域网 与 某 个 专用 的 网 络 体系 结构 相互 连接 起 来 。 

3. 网 络 互 连 的 类 型 

网 络 互 连 可 分 为 局 域 网 -局 域 网 (LAN-LAN) 、 局 域 网 -广域网 (LAN-WAN) 、 局 域 网 - 广 
域 网 -局 域 网 (LAN-WAN-LAN) 、 广 域 网 - 广域网 (WAN-WAN) 四 种 类 型 。 
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(1) 局 域 网 -局 域 网 

LAN-LAN 互 连 又 分 为 同 种 LAN 互 连 和 异种 LAN 互 连 。 同 构 网 络 互 连 是 指 符合 相同 协议 
局 域 网 的 互 连 ， 主 要 采用 的 设备 有 中 继 右 、 集 线 器 、 网 桥 、 交 换 机 等 。 而 异 构 网 的 互 连 是 指 
两 种 不 同 协议 局 域 网 的 互 连 ， 主 要 采用 的 设备 为 网 桥 、 路 由 顺 等 。 局 域 网 -局 域 网 互 连 如 图 
2-2 所 示 。 

(2) 局 域 网 -广域网 

局 域 网 -广域网 是 目前 常见 的 方式 之 一 ， 即 局 域 网 接 入 广域网 中 ， 用 来 连接 的 设备 是 路 
由 硕 或 网 关 ， 如 图 2-3 所 示 。 





























LAN 














图 2-2 局 域 网 -局 域 网 互 连 图 2-3 ”局域网 -广域网 互 连 


(3) 局 域 网 -广域网 -局 域 网 

这 是 将 两 个 分 布 在 不 同 地 理 位 置 的 LAN 通过 WAN 实现 互 连 ， 连 接 设 备 主 要 有 路 由 器 和 
网 关 。 

(4) 广域网 -广域网 

通过 路 由 顺和 网 关 将 两 个 或 多 个 广域网 互 连 起 来 ， 可 以 使 分 别 连 和 人 各 个 广域网 的 主机 资 
源 能 够 实现 共享 。 


2.2 常用 的 网 络 设备 


2.2.1 网 络 适配器 


1. 网 络 适配器 的 工作 原理 

网 络 适 配 副 又 称 网 卡 ， 如 图 24 所 示 ， 全 称 为 网 络 接口 卡 ( Network Interface Card， 
NIC) ， 它 是 计算 机 网 络 中 最 基本 的 元 素 ， 也 是 实现 计算 机 联网 的 重要 设备 。 平 常 所 说 的 网 
就 是 将 计算 机 和 局 域 网 连 起 来 的 网 络 适配器 ， 它 的 主要 作用 是 将 计算 机 数据 转换 成 网 络 上 
其 他 设备 能 够 识别 的 信号 ， 通 过 介质 传输 。 一 台 计 算 机 如 果 没 有 网 卡 就 不 能 上 网 ， 像 显卡 和 
声卡 一 样 插 在 计算 机 主板 的 扩展 槽 中 ， 是 计算 机 与 局 域 网 相互 连接 的 唯一 接口 。 无 论 是 普通 
计算 机 还 是 高 端 服 务 器 ， 只 要 连接 到 网 络 ， 就 都 必须 拥有 至 少 一 块 网 卡 。 当 然 如 果 有 必要 ， 
一 人 台 计 算 机 也 可 以 同时 安装 两 块 或 多 块 网 卡 。 例 如 ， 代 理 服务 絮 就 需要 安装 两 块 网 卡 ， 用 于 
分 别 连接 局 域 网 和 Internet。 
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PC 网 卡 服务 器 网 卡 
图 24 网 络 适 配 带 








在 0SI 模型 中 ， 网 卡 属于 数据 链 路 层 的 设备 。 在 上 一 节 网 络 基本 原理 介绍 中 ， 我 们 学 习 
了 数据 的 封装 与 解 封 的 知识 ， 发 送 时 将 上 一 层 交 下 来 的 数据 加 上 首部 和 尾部 ， 成 为 以 太 网 的 
帧 。 接 收 时 将 以 太 网 的 帧 剥 去 首部 和 尾部 ， 然 后 送 交 上 一 层 。 网 卡 的 主要 功能 之 一 就 是 完成 
数据 的 封装 与 解 封 ， 分 为 两 部 分 : 一 是 将 计算 机 的 数据 封装 为 帧 ， 并 通过 网 络 将 数据 帧 打包 
后 发 送 到 网 络 上 去 ; 二 是 接收 网 络 上 传 过 来 的 数据 包 ， 经 过 拆 包 ， 将 其 变 为 计算 机 可 以 识别 
的 数据 ， 传 送 到 所 在 的 计算 机 中 。 

网 卡 包 括 硬件 和 固件 程序 (只 读 存 储 器 中 的 软件 例 程 ) 。 网 卡 硬件 有 处 理 器 、 存 储 器 
(包括 RAM 和 ROM) 等 控制 芯片 ， 它 的 主要 技术 参数 为 带宽 、 总 线 方式 、 电 和 气 接口 方式 等 。 
网 卡 和 局 域 网 之 间 通 信和 是 通过 电缆 或 双 绞 线 以 串 行 传输 方式 进行 的 ， 而 网 卡 和 计算 机 之 间 的 
通信 则 是 通过 计算 机 主板 上 的 IO 总 线 以 并 行 传输 方式 进行 的 。 网 卡 在 处 理 数据 的 时 候 需 要 
进行 串 行 /并 行 转换 。 网 卡 的 固件 程序 实现 逻辑 链 路 控制 和 媒体 访问 控制 的 功能 ， 还 记录 唯 
一 的 硬件 地 址 即 MAC 地 址 。 

MAC 地 址 即 介质 访问 控制 地 址 ， 也 叫 硬件 地 址 ， 用 来 定义 网 络 设备 的 位 置 。 在 0SI 模 
型 中 ， 第 三 层 网 络 层 负责 IP 地 址 ， 第 二 层 数据 链 路 层 则 负责 MAC 地 址 。 因 此 一 个 主机 会 有 
一 个 IP 地 址 ， 而 每 个 网 络 位 置 会 有 一 个 专属 于 它 的 MAC 地 址 。MAC 地 址 是 烧 录 进 网 卡 中 
的 ， 是 由 48bit 长 、16 进 制 的 数字 组 成 。0 ~ 23 位 叫做 组 织 唯一 标志 符 (organizationally u- 
nique) ， 是 识别 LAN (局 域 网 ) 节点 的 标识 ; 24 ~47 位 是 由 厂家 自己 分 配 。 其 中 第 40 位 是 
组 播 地 址 标志 位 。 网 卡 的 物理 地 址 通常 是 由 网 卡 生 产 厂 家 烧 入 网 卡 的 EPROM (一 种 闪存 芯 
片 ， 通 常 可 以 通过 程序 控 写 ) ， 它 存储 的 是 传输 数据 时 真正 赖 以 标识 发 出 数据 的 计算 机 和 接 
收 数据 的 主机 的 地 址 。 

在 网 络 底层 的 物理 传输 过 程 中 ， 是 通过 物理 地 址 来 识别 主机 的 ， 它 一 般 也 是 全 球 唯一 
的 。 比 如 以 太 网 网 卡 的 物理 地 址 是 48bit (比特 位 ) 的 整数 ， 如 : 00-23-5A-15-99-42， 以 机 
人 兢 可 读 的 方式 存 入 主机 接口 中 。 以 太 网 地 址 管理 机 构 IEEE 将 以 太 网 地 址 ， 也 就 是 48bit 的 
不 同 组 合 ， 分 为 若干 独立 的 连续 地 址 组 ， 生 产 以 太 网 网 卡 的 厂家 就 购买 其 中 一 组 ， 具 体 生 产 
时 ， 逐 个 将 唯一 地 址 赋予 以 太 网 卡 。MAC 地 址 具有 全 球 唯一 性 。 在 个 人 计算 机 上 查看 MAC 
地 址 的 方法 是 在 命令 行 输入 ipconfig/all 即 可 看 到 MAC 地 址 ， 如 图 2-$ 所 示 。 

2. 网 络 适配器 的 分 类 

根据 网 络 技术 的 不 同 ， 网 卡 的 分 类 也 有 所 不 同 ， 网 卡 可 按 以 下 的 标准 进行 分 类 : 

1) 按 网 卡 所 支持 带宽 的 不 同 可 分 为 10Mbit/s 网 卡 、100Mbit/s 网 卡 、10Z100Mbitvs 自 
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所 有 1985-2981 Microsoft Corp- 
CDocuments and SettinogssnhadministFator>ipconfig all 
Windows IP Gonfiguration 
: HP-ECB3B414D637 
Node Type - . - ..... 3 . ; . Unknown 
IP Routing Enabled. . . ..... :No 


WINS Proxy Enabled. - . - - - - 。 : No 


ernet adapter 本 地 连接 : 


Connection—-specific DNS Suffix  。: 


Description . . . - 
onnec tion 


: Intel<R> B82567LM-—3 Gigabit Network CG 


: BO-25-B3-CF-7?5-59 
1, 
用 
: 255.255.255.0 
19.4-3-1 


: 19-1-4-19 








图 2-5 输入 ipconfig/all 查看 IP 地 址 


适应 网 卡 、1000Mbit/s 网 卡 四 种 。 现 在 所 使 用 的 网 卡 基 本 都 是 1000Mbit/s 网 卡 。 

2) 按 网 卡 的 总 线 类 型 一 般 可 分 为 ISA 接口 网 卡 、PCI 接口 网 卡 、PCI-X 总 线 接口 网 卡 
(服务 器 专用 ) 、PCMCIA 接口 〈 笔 记 本 计算 机 专用 ) 等 类 型 的 网 卡 。 现 在 主流 的 网 卡 基本 
都 是 PCI 接口 网 卡 。 

3) 网 卡 最 终 要 与 网 络 进行 连接 ， 所 以 必须 要 有 一 个 接口 使 网 线 通 过 它 与 其 他 计算 机 网 
络 设备 连接 起 来 ， 不 同 的 网 络 接口 适用 于 不 同 的 网 络 类 型 。 目 前 局 域 网 基本 采用 以 太 网 技 
术 。 按 网 络 接口 划分 ， 常 见 的 接口 主要 有 以 太 网 的 RJ-45 接口 ， 其 他 不 太 常见 的 有 细 同 轴 电 
缆 的 BNC 接口 、 粗 同 轴 电 缆 的 AUI 接口 、ATM 网 卡 、 令 牌 环 网 卡 和 FDDI 网 卡 等 。 

4) 按 应 用 对 象 的 不 同 来 划分 ， 一 般 分 为 应 用 于 工作 站 的 网 卡 和 应 用 于 服务 器 的 网 卡 。 
服务 器 通常 采用 专门 的 网 卡 ， 这 种 网 卡 基本 都 是 千 兆 网 卡 ， 能 支持 高 带宽 传输 的 需要 。 一 般 
服务 器 配备 有 两 块 网 卡 ， 能 文 持 了 元 余 备 份 、 热 插 拔 等 服务 器 专用 功能 。 

3. 无 线 网 卡 

随 着 无 线 网 技术 的 快速 发 展 ， 无 线 网 卡 已 非常 流行 。 无 线 网 卡 的 作用 、 功 能 跟 普 通 计 算 
机 网 卡 一 样 ， 是 用 来 连接 到 局 域 网 上 的 。 它 只 是 一 个 信号 收发 设备 ， 只 有 在 找到 互联 网 的 出 
口 时 才能 实现 与 互联 网 的 连接 ， 所 有 无 线 网 卡 只 能 局 限 在 已 布 有 无 线 局 域 网 的 范围 内 。 无 线 
网 卡 就 是 不 通过 有 线 连接 ， 采 用 无 线 信 号 进行 连接 的 网 卡 。 无 线 网 卡 是 终端 无 线 网 络 的 设 
备 ， 是 无 线 局 域 网 (Wireless LAN) 无 线 履 盖 下 通过 无 线 连 接 网 络 进行 上 网 使 用 的 无 线 终端 
设备 。 常 见 的 无 线 网 卡 有 适用 于 台式 机 使 用 的 PCI 接口 无 线 网 卡 、 笔 记 本 电脑 专用 的 PCM- 
CIA 接口 无 线 网 卡 、USB 接口 无 线 网 卡 ， 如 图 2-6 所 示 。 


2.2.2 中 继 器 


网 络 信 号 在 通过 电缆 进行 传输 的 过 程 中 会 不 断 地 衰减 ， 当 超越 一 定 的 距离 时 ， 由 于 存在 
损耗 ， 在 线路 上 传输 的 信号 功率 会 逐渐 衰减 ， 衰 减 到 一 定 程度 时 将 造成 信号 失真 ， 因 此 会 导 
致 接收 错误 。 中 继 吉 ( Repeater) 就 是 为 解决 这 一 问题 而 设计 的 。 中 继 怖 可 以 完成 物理 线路 

40 
























































第 2 章 网 络 互 连 设 备 “中 








TP-LINE 54Mbps 





ae 


TP-Link 54M 台式 机 无 线 网 卡 笔记 本 无 线 网 卡 USB 无 线 网 卡 
图 2-6 无 线 网 卡 





的 连接 ， 在 传输 过 程 中 对 衰减 的 信号 进行 放大 ， 保 持 与 原 数据 相同 。 

中 继 器 工作 在 物理 层 ， 它 是 连接 网 络 线路 的 一 种 装置 ， 常 用 于 两 个 网 络 节点 之 间 物理 信 
号 的 双向 转发 工作 ， 主 要 功能 是 对 网 线 长 度 和 网 络 覆盖 范围 进行 扩充 。 中 继 器 是 最 简单 的 网 
络 互联 设备 ， 主 要 负责 接收 、 恢 复 并 转发 
信号 ， 以 扩展 以 太 网 。 其 连接 拓扑 结构 如 
图 2-7 所 示 。 

中 继 器 至 少 有 两 个 端口 ， 早 期 同 轴 电 
缆 中 继 器 多 为 两 个 端口 ， 可 以 连接 两 个 网 
段 。 一 般 情况 下 ， 中 继 器 的 两 端 连 接 的 是 
相同 的 媒体 ， 但 有 的 中 继 器 也 可 以 完成 不 
同 媒体 的 转 接 工作 。 从 理论 上 讲 中 继 器 的 
使 用 是 无 限 的 ， 网 络 也 因此 可 以 无 限 延 
长 。 事 实 上 这 是 不 可 能 的 ， 因 为 网 络 标准 
中 都 对 信号 的 延迟 范围 做 了 具体 的 规定 ， 
中 继 器 只 能 在 此 规定 范围 内 进行 有 效 的 工 
作 ， 和 否则 会 引起 网 络 故 障 。 以 太 网 标准 中 < > < 
就 约定 了 一 个 以 太 网 上 只 允许 出 现 5 个 网 。 县 多 
段 ， 最 多 使 用 4 个 中 继 器 ， 而 且 其 中 只 有 
3 个 网 段 可 以 挂 接 计算 机 终端 。 

多 个 端口 的 中 继 器 即 多 口中 继 器 ， 可 以 连接 多 个 网 段 ， 形 成 以 中 继 器 为 中 心 的 星 形 结 
构 。 多 口中 继 器 在 双 绞 线 以 太 网 中 通常 称 为 中 继 式 集线器 ， 或 简称 为 集线器 (HUB) ，HUB 
可 以 使 每 个 端口 只 与 一 个 站 点 相连 ， 形 成 信号 的 点 对 点 传输 ， 使 以 太 网 形成 星 形 结构 。 虽 然 
形式 上 是 星 形 结构 ， 但 实际 仍然 是 总 线 型 结构 ， 这 种 HUB 被 称 为 共享 式 集线器 。 


2.2.3 网 桥 


在 计算 机 网 络 发 展 的 初期 ,虽然 还 没有 出 现 互 联网 ,但 具备 一 定 规模 的 局 域 网 已 经 出 
现 ， 如 果 一 个 局 域 网 的 网 段 (一 个 网 段 下 有 255 个 IP 地 址 ) 内 计算 机 数量 大 于 255 台 ， 需 
要 用 不 同 的 网 段 进行 连接 ， 而 且 这 些 网 段 要 相互 连接 组 成 一 个 完整 的 网 络 。 但 问题 是 原 有 的 
交换 机 或 者 集线器 虽然 可 以 把 整个 网 络 内 的 计算 机 连接 在 一 起 ,但 却 无 法 突破 不 同 网 段 间 不 
能 连接 的 限制 ， 因 此 并 不 能 够 满足 需求 。 这 需要 一 种 设备 能 够 完成 多 个 网 段 间 数 据 包 的 相互 











图 2-7 用 中 继 器 连接 的 网 络 拓扑 结构 
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转发 才 可 以 ， 网 桥 ( Bridge) 正 是 出 于 这 种 需求 ， 而 被 开发 出 来 的 。 

网 桥 工作 在 OSI 模型 的 数据 链 路 层 ， 可 以 用 于 连接 具有 不 同 物理 层 的 网 络 ， 如 连接 使 用 
同 轴 电 缆 和 双 绞 线 的 网 络 。 网 桥 是 一 种 数据 帧 存储 转发 设备 ， 它 通过 缓存 、 过 滤 、 学 习 、 转 
发 和 扩散 等 功能 来 完成 操作 。 利 用 网 桥 可 以 将 两 个 局 域 网 连接 起 来 ， 网 桥 根 据 MAC 地 址 来 
转发 帧 ， 可 以 看 作 是 一 个 “低层 的 路 由 需 ”。 不 同 的 是 ， 路 由 顺 工 作 在 网 络 层 ， 根 据 卫 地 
址 进行 转发 。 

网 桥 比 路 由 需 更 难以 控制 ， 它 不 同 于 路 由 需 具 有 IP 等 协议 ， 并 且 有 路 由 协议 实现 大 规 
模 的 网 络 互联 。 网 桥 只 能 使 用 MAC 地 址 和 物理 拓扑 进行 工作 ， 因 此 网 桥 一 般 适 用 于 小 型 且 
简单 的 网 络 。 


2.2.4 集线器 


集 线 絮 (HUB) 属于 数据 通信 系统 中 的 基础 设备 ， 它 和 双 绞 线 等 传输 介质 一 样 ， 是 一 
种 不 需 任何 软件 支持 或 内 需 很 少 管理 软件 管理 的 硬件 设备 。 它 是 对 网 络 进 行 集中 管理 的 最 小 
单元 ， 简 单 易 用 ， 被 广泛 应 用 到 各 种 场合 。 集 线 器 工作 在 局 域 网 (LAN) 环境 , 像 网 卡 一 
样 ， 应 用 于 0SI 参考 模型 第 一 层 ， 因 此 又 被 称 为 物理 层 设备 。 集 线 器 最 大 的 特点 是 采用 共享 
型 模式 ， 它 不 具备 自动 寻 址 能 力 ， 也 不 具备 交换 作用 ， 所 有 传 到 集线器 的 数据 均 被 广播 到 与 
之 相连 的 各 个 端口 。 这 里 所 指 的 “共享 ”其 实 就 是 集线器 内 部 总 线 。 

集线器 主要 应 用 于 星 形 拓扑 结构 的 网 络 环境 ， 可 以 用 集线器 建立 一 个 物理 上 的 星 形 或 树 
形 网 络 结构 。 在 这 方面 ， 集 线 锅 所 起 的 作用 相当 于 多 端口 的 中 继 器 。 而 中 继 器 的 主要 功能 是 
对 接收 到 的 信号 进行 再 生 放 大 ， 以 扩大 网 络 的 传输 距离 。 因 此 ， 集 线 器 可 以 看 作 是 中 继 右 的 
一 种 ， 其 区 别 仅 在 于 集线器 能 够 提供 更 多 的 端口 服务 ， 所 以 集线器 又 叫 多 口中 继 器 。 

集线器 主要 用 于 共享 网 络 的 组 建 ， 是 解决 从 服务 器 直接 到 桌面 最 经 济 的 方案 。 在 交换 式 
网 络 中 ， 集 线 器 直接 与 交换 机 相连 ， 将 交换 机 端口 的 数据 送 到 桌面 。 使 用 集线器 组 网 灵活 ， 
它 处 于 网 络 的 一 个 星 形 节 点 ， 对 节点 相连 的 工作 站 进行 集中 管理 ， 不 让 出 问题 的 工作 站 影响 
整个 网 络 的 正常 运行 ， 并 且 用 户 的 加 入 和 退出 也 很 自由 。8 口 集 线 器 如 图 2-8 所 示 。 

集 线 硕 可 分 为 无 源 〈Passive) 集 
线 各 、 有 源 (Active) 集 线 胡 和 智能 
(Intelligent) 集 线 顺 三 种 。 

无 源 集线器 : 只 负责 把 多 段 介 质 
连接 在 一 起 ， 对 信号 只 进行 传输 而 不 
做 任何 处 理 ， 每 一 种 介质 段 只 允许 扩 
展 到 最 大 有 效 距 离 的 一 半 ， 比 如 双 绞 图 2-8 8 口 集线器 
线 只 能 扩充 50m。 

有 源 集 线 右 : 具有 对 传输 信号 进行 再 生 和 放大 从 而 扩展 介质 长 度 的 功能 ， 人 允许 扩 展 到 最 
大 有 效 距 离 的 一 售 ， 如 双 绞 线 可 扩充 100m。 

智能 集 线 禹 : 除了 具有 有 源 集线器 的 功能 外 ， 还 可 以 将 网 络 的 部 分 功能 集成 到 集 线 需 
中 ， 如 网 络 管理 、 选 择 网 络 传输 线路 等 。 

集 线 角 技术 发 展 迅 速 ， 已 出 现 网 络 互联 集 线 硕 ， 在 集 线 项 上 增加 了 线路 交换 功能 ， 并 且 
划分 网 络 段 。 网 络 互联 集线器 在 背 板 的 多 个 网 段 之 间 实 际 上 提供 了 一 些 类 型 的 集成 连接 。 以 
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后 集线器 和 交换 机 之 间 的 界限 将 会 变 得 越 来 越 模 糊 。 
2.2.5 网 关 


网 关 (Gateway) 有 一 个 非常 形象 的 比喻 ， 从 一 个 房间 走 到 另 一 个 房间 ， 必 然 要 经 过 一 
而 门 。 同 样 ， 从 一 个 网 络 向 另 一 个 网 络 发 送信 息 ， 也 必须 经 过 一 道 “ 关 口 ” ， 这 道 关口 就 是 
网 关 。 

顾名思义 ， 网 关 就 是 一 个 网 络 连接 到 另 一 个 网 络 的 “关口 ”。 在 0SI 模型 中 ， 网 关 是 传 
输 层 及 传输 层 以 上 的 网 络 的 互 连 设备 ， 连 接 两 个 或 多 个 不 同 的 网 络 ， 使 之 能 相互 通信 。 网 关 
既 可 以 用 于 广域网 互 连 ， 也 可 以 用 于 局 域 网 互 连 。 网 关 是 一 种 充当 不 同 网 络 之 间 转 换 的 系统 
或 设备 。 在 使 用 不 同 的 通信 协议 、 数 据 格式 或 语言 ， 甚 至 体系 结构 完全 不 同 的 两 种 系统 之 
间 ， 网 关 的 作用 就 像 翻译 器 一 样 。 简 言 之 ， 网 关 就 是 连接 两 个 不 同类 型 网 络 的 连接 设备 。 

网 关 是 一 种 比较 特殊 的 设备 ， 网 关 更 多 表现 为 一 种 软件 或 者 软件 和 硬件 的 结合 体 ， 作 为 
软件 时 没有 一 个 固定 的 物质 形态 ， 作 为 硬件 时 如 路 由 器 ， 实 际 是 一 个 网 关 。 网 关 较 其 他 的 互 
联 设备 更 为 复杂 ， 它 用 来 连接 异 构 网 络 并 且 要 将 一 种 协议 转换 成 另 一 种 协议 。 

在 组 网 中 ， 网 关 实 质 上 是 一 个 网 络 通 向 其 他 网 络 的 IP 地 址 。 比 如 有 网 络 A 和 网 络 B， 
网 络 A 的 IP 地址 范围 为 “192. 168. 1. 1 ~ 192. 168. 1.254”， 子 网 掩 码 为 255. 255. 255.0， 网 
络 B 的 IP 地 址 范围 为 “192. 168.2.1~192.168.2.254”,， 子 网 掩 码 为 255. 255. 255.0。 在 没 
有 路 由 需 的 情况 下 ， 两 个 网 络 之 间 是 不 能 进行 TCPAIP 通信 的 ， 即 使 是 两 个 网 络 连 接 在 同一 
台 交 换 机 (或 集 线 需 ) 上 ，TCP/P 也 会 根据 子 网 掩 码 (255. 255. 255.0) 判定 两 个 网 络 中 
的 主机 处 在 不 同 的 网 络 里 。 而 要 实现 这 两 个 网 络 之 间 的 通信 ， 则 必须 通过 网 关 。 如 果 网 络 A 
中 的 主机 发 现 数据 包 的 目的 主机 不 在 本 地 网 络 中 ， 就 把 数据 包 转 发 给 它 自 己 的 网 关 ， 再 由 网 
关 转 发 给 网 络 B 的 网 关 ， 网 络 B 的 网 关 再 转发 给 网 络 B 的 某 个 主机 ， 如 图 2-9 所 示 。 网 络 B 
问 网 络 A 转发 数据 包 的 过 程 也 是 如 此 。 

因此 ， 只 有 设置 好 网 关 的 IP 地 址 ， 
TCP/IP 就 能 实现 不 同 网 络 之 间 的 相互 通 | 315530 253 550 350 
信 。 那 么 这 个 IP 地 址 是 哪 台 机 器 的 了 下 地 | | - — 
址 呢 ?” 网 关 的 IP 地 址 是 具有 路 由 功能 设 人 
备 的 耳 地 址 ， 具 有 路 由 功能 的 设备 有 路 到 一 

1 


由 器 、 启 用 了 路 由 协议 的 服务 器 (实质 
网 关 : 192 168 1.1 网 关 : 192.168.2.1 



































上 相当 于 一 人 台 路 由 噩 ) 、 代 理 服务 器 〈 也 
相当 于 一 台 路 由 融 ) 。 

如 果 搞 清 了 什么 是 网 关 ， 默 认 网 关 也 
就 好 理解 了 。 就 好 像 一 个 房间 可 以 有 多 记 
门 一 样 ， 一 人 台 主 机 可 以 有 多 个 网 关 。 黑 认 网 关 的 意思 是 一 台 主 机 如 果 找 不 到 可 用 的 网 关 ， 就 
把 数据 包 发 给 默认 指定 的 网 关 ， 由 这 个 网 关 来 处 理 数据 包 。 现 在 主机 使 用 的 网 关 ， 一 般 指 的 
是 默认 网 关 。 如 我 们 上 网 手动 配置 了 一 个 默认 网 关 地 址 ， 这 个 默认 网 关 意 味 着 所 有 的 数据 默 
认 就 向 这 个 地 址 转发 ， 这 个 地 址 多 半 是 主机 上 连 的 局 域 网 络 设 备 ( 交换 机 或 路 由 器 ) 的 IP 
地 址 。 




















图 2-9 ”网 关 工 作 过 程 
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2.3.1 交换 机 的 基本 概念 


交换 机 (Switch ， 意 为 “开关 ”) 是 一 种 用 于 电信 号 转发 的 网 络 设备 。 它 可 以 为 接 入 交 
换 机 的 任意 两 个 网 络 节点 提供 独 享 的 电信 号 通路 。 广 义 的 交换 机 就 是 一 种 在 通信 系统 中 完成 
言 息 交 换 功 能 的 设备 。 最 常见 的 交换 机 是 以 太 网 交换 机 。 2 en 
其 他 常见 的 还 有 电话 语音 交换 机 、 光 纤 交 换 机 等 。 我 们 通 DS- Ey 
常 所 指 的 交换 机 就 是 以 太 网 交换 机 ， 是 组 建 局 域 网 中 最 主 BO 
要 的 设备 ， 如 图 2-10 所 示 。 on 

交换 机 拥有 一 条 很 高 带宽 的 背部 总 线 和 内 部 交换 外 ~、 
阵 。 交 换 机 的 所 有 端口 都 挂 接 在 这 条 背部 总 线 上 ， 控 制 电 Ey ett Ee: 

路 收 到 数据 包 以 后 ， 处 理 端口 会 查找 内 存 中 的 地 址 对 照 表 

以 确定 目的 MAC (网卡 的 硬件 地 址 ) 的 NIC (网卡) 挂 接 

在 哪个 端口 上 ， 通 过 内 部 交换 矩阵 迅速 将 数据 包 传送 到 目的 端口 ， 目 的 MAC 大 不 存在 广播 
到 所 有 的 端口 ， 接 收 端口 回应 后 交换 机 会 “学 习 ” 新 的 地 址 ， 并 把 它 添加 入 内 部 MAC 地 址 
表 中 。 

使 用 交换 机 也 可 以 把 网 络 “分 段 ” ， 通 过 对 照 MAC 地 址 表 ， 交 换 机 只 允许 必要 的 网 络 
流量 通过 交换 机 。 通 过 交换 机 的 过 泪 和 转发 ， 可 以 有 效 地 减少 冲突 域 ， 但 它 不 能 划分 网 络 层 
广播 ， 即 广播 域 。 

交换 机 在 同一 时 刻 可 进行 多 个 端口 之 间 的 数据 传输 。 每 一 端口 都 可 视 为 独立 的 网 段 ， 连 
接 在 其 上 的 网 络 设备 独自 享有 全 部 的 带宽 ， 无 须 同 其 他 设备 竞争 使 用 。 当 节点 A 向 节点 DD 
发 送 数据 时 ， 节 点 B 可 同时 间 节 点 C 发 送 数据 ， 而 且 这 两 个 传输 都 享有 网 络 的 全 部 带宽 ， 
都 有 着 自己 的 虚拟 连接 。 假 使 这 里 使 用 的 是 10Mbit/s 的 以 太 网 交换 机 ， 那 么 该 交换 机 这 时 
的 总 流通 量 就 等 于 2 x10Mbit/s =20Mbit/s， 而 使 用 10Mbit/s 的 共享 式 集 线 器 时 ， 一 个 集 线 
妖 的 总 流通 量 也 不 会 超出 10Mbit/s。 

总 之 ， 交 换 机 是 一 种 基于 MAC 地 址 识别 ， 能 完成 封装 转发 数据 包 功 能 的 网 络 设备 。 交 
换 机 可 以 “学 习 ”MAC 地 址 ， 并 把 其 存放 在 内 部 地 址 表 中 ， 通 过 在 数据 帧 的 始 发 者 和 目标 
接收 者 之 间 建 立 临 时 的 交换 路 径 ， 使 数据 帧 直接 由 源 地 址 到 达 目 的 地 址 。 


2.3.2 交换 机 的 工作 原理 


在 计算 机 网 络 基础 原理 的 课程 中 ,我 们 学 习 了 以 太 网 中 的 一 人 台 主 机 要 传输 数据 时 ,一般 
按 如 下 步骤 进行 : 

1) 侦 听 信道 上 是 否 有 信和 号 在 传输 。 如 果 有 的 话 ， 表 明 信 道 处 于 忙 状 态 ， 就 继续 侦 听 ， 
直到 信道 空 六 为止。 

2) 知 没有 侦 听 到 任何 信号 ， 说 明 信 道 空间 ， 就 开始 传输 数据 。 

3) 传输 的 时 候 继续 侦 听 ， 如 发 现 冲 突 则 执行 退 避 算法 ， 随 机 等 待 一 段 时 间 后 ， 重 新 执 
行 步骤 1) 〈 当 发 生 冲 突 时 ， 涉 及 冲突 的 计算 机 会 发 送 一 个 拥塞 序列 ， 以 警告 所 有 的 节点 ) 。 
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TT 
闸 十 直 册 二 由 Err 


中 TT 








图 2-10 ”以 太 网 交换 机 




















第 2 章 网 络 互 连 和 设备 | 








4) 大 未 发 现 冲 突 则 发 送 成 功 ， 计 算 机 会 返回 到 侦 听 信道 状态 。 

从 这 个 过 程 中 我 们 知道 早期 以 太 网 采用 CSMAZCD (载波 侦 听 多 路 访问 /冲突 检测 ) 方 
法 ， 以 广播 竞争 传输 为 机 制 ， 以 处 理 冲突 域 。 后 来 以 太 网 发 展 为 快速 以 太 网 ， 引 入 星 形 网 络 
结构 ， 仍 然 遵守 CSMAZCD 广播 竞争 传输 机 制 ， 关 键 在 于 减少 了 由 于 广播 带 来 的 冲突 。 交 换 
式 网 络 正 是 基于 解决 这 个 问题 而 诞生 的 ， 交 换 式 网 络 会 对 接收 到 的 所 有 帧 进行 检查 ， 该 取 帧 
的 源 MAC 地 址 字段 后 ， 便 做 出 一 个 假定 : 如 果 监 测 到 一 个 来 自 某 个 端口 上 的 帧 ， 那 么 发 送 
这 个 帧 的 工作 站 就 连接 在 这 个 端口 上 ， 从 而 减少 了 网 络 冲突 ， 扩 展 了 网 络 带宽 ， 分 割 了 网 络 
碰撞 域 ， 使 得 网 络 冲 突 被 限制 在 最 小 范围 内 ， 目 前 使 用 在 交换 式 网 络 中 最 为 广泛 的 设备 就 是 
交换 机 。 以 太 网 已 经 发 展 成 快速 以 太 网 、 干 兆 以 太 网 、 万 兆 以 太 网 等 ， 成 为 当今 最 广泛 的 标 
准 (IEEE802. 3)。 


2.3.3 以 太 网 交换 机 的 基本 功能 


交换 机 的 基本 功能 包括 以 下 三 个 方面 : 

1) 地 址 学 习 : 以 太 网 交换 机 能 够 学 习 到 所 有 连接 到 其 端口 的 设备 的 MAC 地 址 ， 地 址 
学 习 的 过 程 是 通过 监听 所 有 流入 的 数据 帧 ， 对 其 源 MAC 地 址 进行 校 验 ， 并 将 MAC 地 址 同 相 
应 的 端口 映射 起 来 存放 在 交换 机 缓存 中 的 MAC 地 址 表 中 。 

2) 帧 的 转发 /过 滤 : 当 一 个 数据 帧 到 达 交 换 机 后 ， 交 换 机 通过 查找 MAC 地 址 表 来 决定 
如 何 转 发 数据 帧 。 数 据 帧 的 目的 地 址 在 MAC 地 址 表 中 有 映射 时 ， 它 被 转发 到 连接 目的 节点 
的 端口 而 不 是 所 有 端口 〈 如 该 数据 帧 为 广播 /组 播 帧 则 转发 至 所 有 端口 ) 。 

3) 消除 回路 : 当 交 换 机 包括 一 个 元 余 回 路 时 ， 以 太 网 交换 机 通过 生成 树 协议 避免 回路 
的 产生 

目前 ， 交 换 机 还 具备 了 一 些 新 的 功能 ， 如 对 VLAN (虚拟 局 域 网 ) 的 支持 、 对 链 路 汇聚 
的 支持 。 交 换 机 除了 能 够 连接 同 种 类 型 的 网 络 之 外 ， 还 可 以 在 不 同类 型 的 网 络 (如 以 太 网 
和 快速 以 太 网 ) 之 间 起 到 互 连 作 用 。 如 今 许多 交换 机 都 能 够 提供 支持 快速 以 太 网 或 FDDI 等 
的 高 速 连接 端口 ， 用 于 连接 网 络 中 的 其 他 交换 机 或 者 为 带宽 占用 量 大 的 关键 服务 右 提 供 附加 
市 
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一 般 来 说 ， 交 换 机 的 每 个 端口 都 用 来 连接 一 个 独立 的 网 段 ， 但 是 有 时 为 了 提供 更 快 的 接 
入 速度 ， 我 们 可 以 把 一 些 重要 的 网 络 计算 机 直接 连接 到 交换 机 的 端口 上 。 这 样 ， 网 络 的 关键 
服务 顺和 重要 用 户 就 拥有 更 快 的 接 和 人 速度 ， 文 持 更 大 的 信息 流量 。 


2.3.4 以 太 网 交换 机 的 分 类 


交换 机 功能 强大 ， 目 前 业界 推出 了 各 种 类 型 的 交换 机 ， 主 要 是 为 了 满足 各 种 不 同 应 用 环 
境 需 求 。 交 换 机 的 分 类 标准 多 种 多 样 ， 常 见 的 有 以 下 几 种 : 

1) 根据 传输 介质 和 传输 速度 划分 ,分 为 以 太 网 交换 机 、 快 速 以 太 网 交换 机 、 千 兆 以 太 
网 交换 机 、 万 兆 以 太 网 交换 机 、ATM 交换 机 、FDDI 交换 机 和 令 牌 环 交 换 机 。 

2) 根据 交换 机 端口 结构 划分 ,分 为 固定 端口 交换 机 和 模块 化 交换 机 。 

3) 根据 工作 协议 层 划 分 ， 分 为 第 二 层 交 换 机 、 第 三 层 交 换 机 和 第 四 层 交 换 机 。 二 层 交 
换 机 一 般 做 接 入 交换 机 使 用 ， 三 层 交 换 机 做 核心 交换 机 和 汇聚 交换 机 使 用 。 

4) 根据 网 络 层次 结构 划分 ， 分 为 核心 交换 机 、 汇 聚 交 换 机 和 接 人 交换 机 。 
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5) 根据 是 否 文 持 网 管 功 能 划分 ， 分 为 网 管 型 交换 机 和 非 网 管理 型 交换 机 。 

6) 根据 交换 机 的 外 观 结构 划分 ,分 为 机 染 式 、 固 定 配 置式 带 扩 展 权 和 固定 配置 式 不 市 
扩展 槽 交换 机 。 机 架 式 交换 机 是 一 种 插 模 式 的 交换 机 ， 这 种 交换 机 扩展 性 较 好 ， 可 支持 不 同 
的 网 络 类 型 ， 如 以 太 网 、 快 速 以 太 网 、 千 H 兆 以 太 网 、ATM、 令 有 牌 环 及 FDDI 等 , 但 价格 较 
咯 。 固 定 配 置式 市 扩展 槽 交换 机 是 一 种 有 固定 站 口 数 并 市 少量 扩展 权 的 交换 机 ， 这 种 交换 机 
在 支持 固定 端口 类 型 网 络 的 基础 上 ， 还 可 以 支持 其 他 类 型 的 网 络 ， 价 格 居中 。 固 定 配 置式 不 
惠 扩 展 槽 交换 机 仅 支 持 一 种 类 型 的 网 络 ， 但 价格 较 便宜 。 


2.3.5 交换 机 的 主要 性 能 指标 


以 太 网 交换 机 的 几 个 主要 性 能 指标 决定 了 交换 机 的 整体 性 能 ， 主 要 有 : 

1) 模块 化 插 模 数量 : 模块 化 插 模 数量 是 指 模块 化 交换 机 所 能 连接 的 最 大 模块 数 ， 这 个 
参数 对 固定 端口 交换 机 没有 实际 意义 。 在 模块 化 交换 机 中 ， 为 用 户 预 留 了 不 同 数量 的 空余 插 
槽 ， 以 方便 用 户 扩 充 各 种 接口 ， 预 留 的 择 覃 越 多 ， 用 户 扩充 的 余地 就 越 大 。 一 般 来 说 ， 这 种 
结构 的 交换 机 的 插 模 数量 不 能 低 于 两 个 。 

模块 化 交换 机 配备 了 多 个 空闲 的 插 槽 ， 用 户 可 任意 选择 不 同 数 量 、 不 同 速率 和 不 同 接口 
类 型 的 模块 ， 以 适应 千变万化 的 网 络 需求 ， 拥 有 更 大 的 灵活 性 和 可 扩充 性 。 像 这 样 模 块 化 交 
换 机 的 端口 数量 就 取决 于 模块 的 数量 和 插 槽 的 数量 。 一 般 来 说 ,企业 级 交换 机 应 考虑 其 扩充 
性 、 羔 容 性 和 排 错 性 ， 因 此 应 当选 用 模块 化 交换 机 以 获取 更 多 的 端口 。 

2) 背 板 带宽 : 交换 机 接口 处 理 融 或 接口 卡 和 数据 总 线 间 所 能 吞吐 的 最 大 数据 量 。 背 板 
带宽 标志 了 交换 机 总 的 数据 交换 能 力 ， 单 位 为 Gbits， 也 叫 交 换 带 宽 ， 一 般 的 交换 机 的 背 板 
带宽 从 几 Gbit/s 到 上 百 Gbit/s 不 等 。 一 人 台 交 换 机 的 背 板 带宽 越 高 ， 所 能 处 理 数 据 的 能 力 就 
越 强 ， 但 同时 设计 成 本 也 会 越 高 。 

3) 包 转 发 率 : 标志 交换 机 转发 数据 包 能 力 的 大 小 。 单 位 一 般 为 bps 〈 包 每 秒 ) ， 一 般 交 
换 机 的 包 转 发 率 在 几 十 Kpps 到 几 百 Mpps 不 等 。 包 转发 率 是 指 交换 机 每 秒 可 以 转发 多 少 百 
万 个 数据 包 ( Mpps) ， 即 交换 机 能 同时 转发 的 数据 包 的 数量 。 包 转发 率 以 数据 包 为 单位 体现 
了 交换 机 的 交换 能 力 。 其 实 决定 包 转 发 率 的 一 个 重要 指标 就 是 交换 机 的 背 板 带宽 ， 背 板 帝 宽 
标志 了 交换 机 总 的 数据 交换 能 力 。 一 全 交换 机 的 背 板 带宽 越 高 ， 所 能 处 理 数据 的 能 力 就 越 
强 ， 也 就 是 包 转 发 率 越 高 。 

4) 交换 机 的 传输 速度 : 交换 机 端口 的 数据 交换 速度 。 目 前 ， 常 见 的 有 10Mbit/s、 
100Mbit/s、1000Mbit/s 等 几 类 。 除 此 之 外 ， 还 有 10GMbit/s 交换 机 ， 但 目前 很 少 。 

5) 交换 机 设备 的 端口 数量 : 此 参数 是 针对 固定 端口 交换 机 而 言 ， 常 见 的 标准 的 固定 端 
口交 换 机 端口 数 有 8、12、16、24 、48 每 几 种 。 而 非 标 准 的 端口 数 主要 有 : 4 端口 ，5 端口 、 
10 端口 、12 端口 、20 端口 、22 端口 和 32 端口 等 。 

6) 网 络 管理 : 网 络 管理 员 通 过 网 络 管理 程序 对 网 络 上 的 资源 进行 集中 化 管理 的 操作 ， 
包括 配置 管理 等 。 一 台 设 备 所 文 持 的 管理 程度 反映 了 该 设备 的 可 管理 性 及 可 操作 性 。 而 交换 
机 的 管理 功能 是 指 交 换 机 如 何 控制 用 户 访问 交换 机 ， 以 及 用 户 对 交换 机 的 可 视 程 度 如 何 。 通 
常 ， 交 换 机 厂商 都 提供 管理 软件 或 满足 第 三 方 管理 软件 的 远程 管理 交换 机 。 一 般 的 交换 机 满 
足 SNMP MIB TIZMIB 开 统计 管理 功能 ， 而 复杂 一 些 的 交换 机 会 通过 内 置 RMON 组 (mini- 
RMON) 来 文 持 RMON 主动 监视 功能 。 有 的 交换 机 还 允许 外 接 RMON 监视 可 选 端口 的 网 络 
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状况 。 

7) 交换 机 堆 二 是 通过 三 家 提供 的 一 条 专用 连接 电缆 ， 从 一 台 交 换 机 的 “UP” 堆 县 端口 
直接 连接 到 另 一 人 台 交 换 机 的 “DOWN” 堆 县 端口 ， 以 实现 单 台 交换 机 端口 数 的 扩充 。 一 般 交 
换 机 能 够 堆 琶 4 ~9 台 。 为 了 使 交换 机 满足 大 型 网 络 对 端口 的 数量 的 要 求 ， 一 般 在 较 大 型 网 
络 中 都 采用 交换 机 的 堆 县 方式。 要 注意 的 是 ， 只 有 可 堆 琶 交换 机 才 具 备 这 种 端口 ， 所 谓 可 堆 
三 交换 机 ， 就 是 指 一 个 交换 机 中 一 般 同 时 具有 “UP” 和 “DOWN” 堆 县 端口 。 当 多 个 交换 
机 连接 在 一 起 时 ， 其 作用 就 像 一 个 模块 化 交换 机 一 样 ， 堆 释 在 一 起 交换 机 可 以 当 作 是 一 个 单 
元 设备 来 进行 管理 。 一 般 情 况 下 ， 当 有 多 个 交换 机 堆 县 时 ， 其 中 存在 一 个 可 管理 交换 机 ， 利 
用 可 管理 交换 机 可 对 此 可 堆 芋 式 交 换 机 中 的 其 他 “独立 型 交换 机 ”进行 管理 。 可 堆 苹 式 交 
换 机 可 非常 方便 地 实现 对 网 络 的 扩充 ， 是 新 建 网 络 时 最 为 理想 的 选择 。 

堆 释 中 的 所 有 交换 机 可 视 为 一 个 整体 的 交换 机 来 进行 管理 ， 也 就 是 说 ， 堆 僵 中 所 有 的 交 
换 机 从 拓扑 结构 上 可 视 为 一 个 交换 机 。 堆 番 在 一 起 的 交换 机 可 以 当 作 一 人 台 交 换 机 来 统一 管 
理 。 交 换 机 堆 帮 技术 采用 了 专门 的 管理 模块 和 堆栈 连接 电缆 ， 这 样 做 的 好 处 是 : 一 方面 增加 
了 用 户 端口 ， 能 够 在 交换 机 之 间 建 立 一 条 较 宽 的 宽带 链 路 ， 这 样 每 个 实际 使 用 的 用 户 带 宽 就 
有 可 能 更 宽 (只 有 在 并 不 是 所 有 端口 都 在 使 用 的 情况 下 ); 男 一 方面 多 个 交换 机 能 够 作为 一 
个 大 的 交换 机 ， 便 于 统一 管理 。 

8) 交换 机 延 时 (Latency) : 从 交换 机 接收 到 数据 包 到 开始 向 目的 端口 复制 数据 包 之 间 
的 时 间 间 隔 。 有 许多 因素 会 影响 延 时 大 小 ， 比 如 转发 技术 等 。 采 用 直通 转发 技术 的 交换 机 有 
固定 的 延 时 ， 因 为 直通 式 交 换 机 不 管 数据 包 的 整体 大 小 ， 而 只 根据 目的 地 址 来 决定 转发 方 
向 。 所 以 ， 它 的 延 时 是 固定 的 ， 取决 于 交换 机 解读 数据 包 前 6 个 学 节 中 目的 地 址 的 解读 速 
率 。 和 采用 存储 转发 技术 的 交换 机 由 于 必须 要 在 接收 完了 完整 的 数据 包 后 才 开 始 转发 数据 包 ， 
所 以 它 的 延 时 与 数据 包 大 小 有 关 。 数 据 包 大 ， 则 延 时 大 ; 数据 包 小 ， 则 延 时 小 。 采用 直通 转 
发 技术 的 干 兆 交换 机 有 固定 的 延 时 ， 因 为 直通 式 交 换 机 不 管 数据 包 的 整体 大 小 ， 而 只 根据 目 
的 地 址 来 决定 转发 方向 。 所 以 ， 它 的 延 时 是 固定 的 。 












































2.4 路 由 希 


2.4.1 路 由 器 的 基本 概念 


首 完 ， 我 们 要 明日 路 由 的 概念 ， 路 由 就 是 从 一 个 地 方 出 发 ,到达 目标 地 所 经 过 的 路 线 。 
比如 我 们 从 辽宁 省 沈阳 市 某 街 道 给 广东 省 广州 市 某 街 道 邮寄 一 个 包 束 ， 首 先 填写 寄 件 人 
(发 送 方 的 地 址 ) ， 也 需要 明确 收 件 人 (接收 方 ) 的 省 市 、 区 县 、 街 道 等 地 址 ; 这 个 包 囊 开 
始 从 发 件 局 发 往 目 标 省 市 ， 途 经 北京 、 郑 州 、 武 汉 、 长 沙 ， 抵 达 广州 ， 然 后 这 个 包 囊 被 交 给 
收 件 人 所 在 街区 的 邮递 员 ， 最 终 ， 这 个 包 囊 送 达 收 件 人 。 这 其 中 途经 的 城市 和 分 拣 站 ， 形 成 
了 一 个 包 庄 的 “路 由 ”。 计 算 机 网 络 采 用 类 似 的 过 程 ， 发 往 互 联网 络 的 信息 首先 被 送 到 与 目 
的 网 络 相连 的 路 由 器， 路 由 天 实际 上 起 着 这 个 网 络 的 分 发 中 心 的 作用 ， 它 把 信息 送 到 目的 子 
网 ， 最 后 此 信息 被 发 送 到 目的 主机 的 目的 端口 上 。 

路 由 需 是 一 种 连接 多 个 网 络 或 网 段 的 网 络 设备 ， 这 些 网 络 可 能 是 同 构 的 也 可 能 是 录 构 
的 ， 它 能 将 不 同 网 络 或 网 段 之 间 的 数据 信息 进行 “翻译 ”， 以 使 它们 能 够 相互 “ 读 ” 异 对方 
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的 数据 ， 从 而 构成 一 个 更 大 的 网 络 。 

图 2-11 给 出 了 一 个 简单 的 互联 网 络 的 系统 ， 用 路 由 器 将 不 同 的 网 络 连接 起 来 ， 网 络 1、 
网 络 2、 网 络 3 通过 路 由 副 A、 路 由 大 BB、 路 由 作 C 实现 互联 ， 网 络 2 中 的 主机 1 和 2 可 以 
通过 路 由 器 B、 路 由 絮 C 与 网 络 3 上 的 主机 3 通信 。 














图 2-11 简单 的 网 络 连 接 


从 本 质 上 讲 ， 路 由 器 的 作用 是 将 一 个 报 文 分 组 从 一 个 网 络 路 由 到 另 一 个 网 络 。 路 由 器 驶 
是 一 个 中 间 系 统 ， 用 来 连接 两 个 或 者 多 个 网 络 。 一 个 路 由 顺 简 单 到 可 以 只 是 一 台 安 装 有 两 块 
网 卡 的 PC， 从 一 块 网 卡 接收 进来 的 数据 包 ， 经 过 处 理 ， 转 发 到 另 一 个 接口 进行 发 送 。 路 由 
器 是 负责 在 网 络 层 对 IP 数据 包 进行 转发 的 主要 设备 ， 它 还 负责 对 IP 数据 包 进 行 灵活 的 路 由 
选择 ， 把 数据 逐 段 向 目的 地 转发 。 它 掩盖 了 下 层 网 络 的 细节 ， 使 各 类 网 络 都 在 IP 上 达到 统 


2.4.2 路 由 器 的 工作 原理 


路 由 需 工 作 在 OSI 参考 模型 的 网 络 层 ， 完 成 不 同 网 络 之 间 的 数据 存储 、 分 组 和 转发 ， 它 
可 以 根据 报 文 来 传输 数据 ， 完 成 网 络 层 路 由 和 转发 任务 。 路 由 需 的 基本 用 途 是 连接 多 个 逻辑 
上 分 开 的 网 络 ， 必 须 具 有 判断 网 络 地 址 和 选择 路 径 的 功能 ， 能 够 在 多 个 网 络 互联 环境 中 建立 
灵活 的 连接 ， 并 可 用 完全 不 同 的 数据 分 组 和 介质 访问 方法 连接 各 种 子 网 。 路 由 需 可 以 文 持 多 
种 协议 (例如 TCPAIP、IPXASPX、AppleTalk)， 但 在 以 太 网 中 主要 运行 的 是 TCP/IP。 

目前 ， 互 联网 就 是 TCPAIP 网 络 ， 全 球 网 络 通 过 路 由 器 互 连 起 来 ，Internet 就 是 成 千 上 万 
个 了 下子 网 通过 路 由 器 互 连 起 来 的 国际 性 网 络 。 这 种 网 络 称 为 以 路 由 器 为 基础 的 网 络 ， 形 成 
了 以 路 由 器 为 节点 的 “网 间 网 ”。 在 “网 间 网 ”中 ， 路 由 器 不 仅 负责 对 IP 分 组 的 转发 ， 还 
要 负责 与 别 的 路 由 器 进行 联络 ， 共 同 确定 “网 间 网 ”的 路 由 选择 和 维护 路 由 表 。 

路 由 器 主要 完成 两 件 事 情 : 寻 径 和 转发 。 寻 径 即 判定 到 达 目 的 地 的 最 佳 路 径 ， 由 路 由 选 
择 算法 来 实现 。 路 由 器 利用 网 络 寻 址 功能 使 路 由 器 能 够 在 网 络 中 确定 一 条 最 佳 的 路 径 。 由 于 
涉及 不 同 的 路 由 选择 协议 和 路 由 选择 算法 ， 要 相对 复杂 一 些 。 为 了 判定 最 佳 路 径 ， 路 由 选择 
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算法 必须 启动 并 维护 包含 路 由 信息 的 路 由 表 ， 其 中 路 由 信息 依赖 于 所 用 的 路 由 选择 算法 而 不 
尽 相 同 。 路 由 选择 算法 将 收集 到 的 不 同 信息 填 入 路 由 表 中 ， 根 据 路 由 表 可 将 目的 网 络 与 下 一 
跳 (Next Hop) 的 关系 告诉 路 由 器 。 路 由 器 间 互 通信 息 进行 路 由 更 新 ， 更 新 维护 路 由 表 使 之 
正确 反映 网 络 的 拓扑 变化 ， 并 由 路 由 融 根 据 量 度 来 决定 最 佳 路 径 。 这 束 是 路 由 选择 协议 
(Routing Protocol) ， 例 如 路 由 信息 协议 〈RIP) 、 开 放 式 最 短路 径 优 先 协议 (0SPF) 和 边界 
网 关 协 议 (BGP) 等 。 

转发 即 沿 寻 径 好 的 最 佳 路 径 传送 信息 分 组 。IP 地 址 的 网 络 部 分 确定 分 组 的 目标 网 络 ， 
并 通过 IP 地 址 的 主机 部 分 和 设备 的 MAC 地 址 确定 到 目标 节点 的 连接 。 路 由 需 的 某 一 个 接口 
接收 到 一 个 数据 包 时 ， 会 查看 包 中 的 目标 网 络 地 址 以 判断 该 包 的 目的 地 址 在 当前 的 路 由 表 中 
是 否 存 在 〈 即 路 由 顺 是 否 知道 到 达 目 标 网 络 的 路 径 ) 。 如 果 发 现 包 的 目标 地 址 与 本 路 由 需 的 
茶 个 接口 所 连接 的 网 络 地 址 相同 ， 那 么 数据 马上 转发 到 相应 接口 ; 如果 发 现 包 的 目标 地 址 不 
是 自己 的 直 连 网 段 ， 路 由 顺 会 查看 自己 的 路 由 表 ， 查 找 包 的 目的 网 络 所 对 应 的 接口 ， 并 从 相 
应 的 接口 转发 出 去 ; 如果 路 由 表 中 记录 的 网 络 地 址 与 包 的 目标 地 址 不 匹配 ， 则 根据 路 由 顺 配 
置 转发 到 默认 接口 ， 在 没有 配置 默认 接口 的 情况 下 会 给 用 户 返 回 目 标 地 址 不 可 达 的 ICMP 信 
自 


DA O 


2.4.3 路 由 器 的 基本 功能 


从 上 一 闻 我 们 学 习 到 ， 所 有 的 路 由 天 必 须 完成 两 个 任务 : 路 由 处 理 和 包 转 发 。 路 由 处 理 
主要 是 收集 网 络 拓扑 信息 并 形成 转发 表 ， 包 转发 处 理 时 根据 转发 表 将 报 文 从 输入 端口 转发 到 
适当 的 输出 端口 。 基 本 上 路 由 侣 具有 以 下 功能 : 

1) 实现 TCP、IP、UDP、ICMP 等 互联 网 协议 。 

2) 连接 到 两 个 或 多 个 数据 包 交 换 的 网 络 ， 对 每 个 连接 到 的 网 络 ， 实 现 该 网 络 所 要 求 的 
数据 通信 的 寻 址 和 转发 功能 。 

3) 接收 及 转发 数据 包 ， 必 要 时 将 数据 包 分 段 。 在 收发 过 程 中 实现 缓冲 区 管理 、 拥 塞 控 
制 以 及 公平 性 处 理 。 

4) 文 持 各 种 网 关 协 议 ， 如 内 部 网 关 协 议 〈ICP) 、 外 部 网 关 协 议 (EGP)、 边 界 网 关 协 
议 (BGP)。 动 态 维护 网 络 路 由 信息 以 符合 网 络 当 前 的 拓扑 结构 ， 从 而 能 根据 路 由 数据 信息 
为 每 一 个 IP 数据 包 选 路 。 

5) 提供 网 络 管理 和 系统 支持 机 制 ， 包 括 配 置 、 诊 断 、 升 级 、 状 态 报 告 、 异 常情 况 报 告 
及 控制 等 ， 并 实现 网 络 管理 功能 。 


2.4.4 路 由 器 的 分 类 


当前 路 由 噩 的 分 类 方法 各 异 ， 从 能 力 上 分 ， 路 由 融 可 分 为 高 端 路 由 器 、 中 端 路 由 噩 和 低 
端 路 由 咒 。 各 三 家 划分 也 不 完全 一 致 。 通 常 将 背 板 交 换 能 力 大 于 40GCbits 的 路 由 霹 称 为 高 
端 路 由 恬 ， 之 下 的 为 中 低 端 路 由 器 。 以 思科 〈Ciseco) 公司 为 例 ，Cisco 12800 路 由 霹 为 高 端 
路 由 右 ，7500 以 下 系列 路 由 融 为 中 低 端 路 由 升 。 

从 结构 上 分 ， 路 由 融 可 分 为 模块 化 结构 与 非 模块 化 结构 ， 通 常 中 高 端 路 由 噩 为 模块 化 结 
构 ， 低 端 路 由 融 为 非 模块 化 结构 。 

从 功能 上 分 ， 路 由 噩 可 分 为 通用 路 由 咒 与 专用 路 由 器 ， 一 般 所 指 的 路 由 需 都 是 通用 路 由 
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器 ， 专 用 路 由 噩 对 硬件 和 功能 有 特殊 要 求 ， 如 宽带 接 人 路 由 需 强 调 宽带 接口 数量 及 种 类 。 
从 路 由 融 在 网 络 中 的 位 置 划 分 ， 路 由 噩 可 分 为 核心 路 由 需 、 企 业 级 路 由 般 和 接 和 人 路 由 天 
等 。 


2.4.5 路 由 器 的 主要 性 能 指标 


不 同 级 别 的 路 由 器 ， 要 求实 现 的 功能 以 及 要 达到 的 性 能 都 不 一 样 。 路 由 右 有 一 些 关 键 性 
能 指标 。 

1) 背 板 能 力 : 背 板 是 输入 与 输出 端口 间 的 物理 通路 。 背 板 能 力 是 路 由 器 的 内 部 实现 。 
传统 路 由 器 采用 共享 青 板 ， 但 高 速 路 由 器 一 般 采 用 可 交换 式 背 板 设计 。 背 板 能 力 体 现在 路 由 
器 的 吞吐 量 上 。 

2) 吞吐 量 : 吞吐 量 是 路 由 器 的 包 转 发 能 力 ， 吞 吐 量 与 路 由 需 端 口 数 量 、 端 口 速 率 、 数 
据 包 长 度 、 数 据 包 类 型 等 有 关 ， 一 般 泛 指 处 理 器 处 理 数 据 包 的 能 力 。 高 速 路 由 器 的 包 转 发 能 
力 至 少 在 20Mbits 以 上 。 乔 吐 量 包括 整 机 吞吐 量 和 端口 知 吐 量 。 整 机 吞吐 量 是 路 由 器 整 机 
的 包 转 发 能 力 ， 是 整 机 每 秒 包 转发 数量 。 端 口 吞 吐 量 是 端口 的 包 转 发 能 力 。 一 般 整 机 吞吐 量 
通常 小 于 路 由 器 所 有 端口 吞吐 量 之 和 。 

3) 和 技 包 率 : 路 由 器 在 稳定 的 持续 负载 下 ， 由 于 资源 缺少 而 不 能 转发 的 数据 包 在 应 该 转 
发 的 数据 包 中 所 占 的 比例 。 丢 包 率 通常 用 来 衡量 路 由 器 在 超 负载 工作 时 的 性 能 。 

4) 全 双 工 线 速 转发 能 力 : 路 由 器 最 基本 且 最 重要 的 功能 是 数据 包 转 发 。 在 同样 端口 速 
率 下 转发 小 包 是 对 路 由 器 包 转 发 能 力 最 大 的 考验 。 全 双 工 线 速 转 发 能 力 是 指 以 最 小 包 长 
(以 太 网 64 字 节 、POS 口 40 字 节 ) 和 最 小 包间 隔 (符合 协议 规定 ) 在 路 由 器 端口 上 双向 传 
输 的 同时 不 引起 丢 包 。 该 指标 是 路 由 器 性 能 的 重要 指标 。 

5) 路 由 表 能 力 : 路 由 器 通常 依靠 所 建立 及 维护 的 路 由 表 来 决定 包 的 转发 。 路 由 表 能 
是 指 路 由 表 内 所 容纳 路 由 表 项 数量 的 极限 。 由 于 Internet 上 执行 BCP 协议 的 路 由 器 通常 拥有 
数 十 万 条 路 由 表 项 ， 所 以 该 项 目 也 是 路 由 器 能 力 的 重要 体现 。 一 般 而 言 ， 高 速 路 由 器 应 该 能 
够 支持 至 少 25 条 路 由 ， 平 均 每 个 目的 地 址 至 少 提供 两 条 路 径 ， 系 统 必 须 支 持 至 少 25 个 BGP 
对 等 体 以 及 至 少 50 个 IGP 邻居 。 

6) 网 管 能 力 : 网 管 是 指 网 络 管理 员 通 过 网 络 管理 程序 对 网 络 上 资源 进行 集中 化 管理 的 
操作 。 包 括 配置 管理 、 记 账 管理 、 性 能 管理 、 差 错 管 理 和 安全 管理 。 设 备 所 支持 的 网 管 程度 
体现 设备 的 可 管理 性 与 可 维护 性 。 

7) 可 靠 性 和 可 用 性 : 包括 路 由 器 部 件 的 兄 余 ， 如 接口 元 余 、 板 卡 宛 余 、 电 源 宛 余 ， 以 
保障 设备 有 足够 的 可 靠 性 与 可 用 性 。 路 由 器 还 支持 热 插 拔 组件 的 更 换 等 。 


















































2.5 主流 网 络 产品 介绍 


前 面 我 们 学 习 了 关于 交换 机 、 路 由 器 的 一 些 基本 理论 知识 ， 本 节 我 们 将 结合 业界 推出 的 
几 球 主流 的 网 络 产品 做 一 些 介绍 ， 进 一 步 加 深 对 这 些 产 品 的 认识 。 目 前 ， 全 球 知 名 的 网 络 设 
备 制造 商 主 要 有 思科 系统 公司 (Cisco Systems，Inc. ) 、 脆 博 网 络 公 司 (Juniper Networks ) 
等 ， 国 内 知名 的 主要 有 华为 、 华 三 通信 (简称 H3C) 、 锐 捷 网 络 等 ， 这 些 公司 都 是 互联 网 解 
决 方案 的 领先 提供 者 ， 其 设备 和 软件 产品 主要 用 于 连接 计算 机 网 络 系统 ， 相 继 推出 了 一 系列 
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业界 领先 的 交换 机 和 路 由 器 等 网 络 互 连 产品 并 得 到 广泛 的 应 用 。 关 于 这 些 产品 的 详细 信息 ， 
请 访问 这 些 产 品 制造 商 的 官方 网 站 进行 查阅 ， 以 了 解 更 多 的 知识 和 信息 。 


2.5.1 交换 机 简介 


思科 的 交换 机 产品 以 “Catalyst” 为 商标 ， 包 含 1900、2900 、3500 、4500 、6500 等 多 个 
系列 。 一 类 是 固定 配置 交换 机 ， 包 括 3500 及 以 下 的 大 部 分 型 号 ， 比 如 1924 是 24 口 10M 以 
太 交 换 机 ， 带 两 个 100M 上 行 端口 。 除 了 有 限 的 软件 升级 之 外 ， 这 些 交 换 机 不 能 扩展 。 另 一 
类 是 模块 化 交换 机 ， 主 要 指 4500 及 以 上 的 机 型 ， 网 络 设 计 者 可 以 根据 网 络 需求 ， 选 择 不 同 
数目 和 型 号 的 接口 板 、 电 源 模块 及 相应 的 软件 。 下 面 分 别 介绍 几 款 比较 典型 的 产品 。 

1. 高 端 交换 机 

思科 2008 年 推出 了 Nexus 7000 系列 交换 机 ， 主 要 用 于 模块 化 数据 中 心 级 产品 ， 适 用 于 
高 度 可 扩展 的 万 兆 以 太 网 网 络 ， 其 交换 矩阵 架构 的 速度 能 扩展 至 15Tbit/s 以 上 。 它 的 设计 则 
在 满足 大 多 数 关 键 任 务 数据 中 心 的 要 求 ， 提 供 永 续 的 系统 运营 和 无 所 不 在 的 虚拟 化 服务 。 

我 们 来 认识 和 了 解 一 下 Nexus 7000 交换 机 。 这 是 思科 推出 的 业界 最 先进 的 一 球 高 端 核 
心路 由 交换 机 ，Cisco Nexus 7000 系列 具有 10 插 酸 机 箱 和 18 插 模 机箱 ， 也 属于 模块 化 交换 
机 ， 即 可 以 热 插 拔 很 多 板 卡 和 部 件 ， 如 图 2-12 所 示 。 























Nexus 7000 10 插 槽 交换 机 


管理 监控 模块 48 端 口 10/100/1000M 以 太 网 模块 


图 2-12 思科 Nexus 7000 系列 交换 机 的 常用 板 卡 


拥有 最 多 8 个 0 模块 持 槽 的 Cisco Nexus 7000 系列 10 插 槽 机 箱 具 有 如 下 特性 : 

1) 最 多 支持 256 个 万 兆 以 太 网 或 384 个 千 兆 以 太 网 端口 ， 能 够 满足 大 型 部 署 的 需求 。 

2) 前 后 通风 有 助 于 确保 使 用 Cisco Nexus 7000 系列 10 插 模 机 箱 能 够 满足 热 通道 和 冷 通 
道 部 署 要 求 ， 而 不 会 增加 复杂 性 。 

3) 分 别 采 用 两 个 系统 风扇 架 和 两 个 交换 矩阵 风 启 架 进 行 冷却 。 每 个 风 启 架 都 配备 有 元 
余 风 扇 ， 独 立 变 速 风 扇 能 随 着 周围 温度 自动 调整 ,不仅 降低 了 进行 出 色 管 理 的 设施 的 能 
而 且 能 实现 最 佳 交换 机 运行 状态 。 该 系统 设计 提高 了 冷却 效率 ， 并 提供 了 元 余 功能 ， 使 得 进行 
热 插 拔 时 不 会 影响 系统 ; 如 果 一 个 风 导 或 整个 风 刚 架 发 生 故 障 ， 系 统 能 继续 运行 ， 不 会 对 冷 
却 能 力 造成 重大 影响 。 

4) 集成 电缆 管理 系统 用 于 完全 配置 的 系统 布线 ， 能 将 所 有 电缆 整齐 地 放 在 一 边 或 两 
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边 ， 以 实现 最 大 的 灵活 性 ， 不 妨碍 任何 重要 组 件 ， 即 使 是 在 系统 布线 完好 的 情况 下 也 能 轻松 
地 进行 维护 。 

5) 系统 拥有 可 选 的 空气 过 滤器 ， 有 助 于 确保 流 过 系统 的 空气 清河。 添加 空气 过 滤器 能 
满足 NEBS 要 求 。 

6) 机 箱 顶 端的 一 系列 LED 清晰 地 提供 主要 系统 组 件 的 状态 显示 ， 能 提示 操作 员 是 否 需 
要 执行 进一步 的 调查 。 这 些 LED 负责 报告 电源 、 风 遍 、 交 换 和 矩阵 、 控 制 引 敬 和 IYO 模块 的 

7) 电缆 管理 盖 和 可 选 的 模块 前 门 能 使 安装 在 系统 中 的 布线 和 模块 不 受 意 外 事件 的 影 
响 。 透 明 的 前 门 使 客户 能 够 查看 布线 、 模 块 指示 灯 和 状态 指示 灯 情 况 。 

思科 推出 的 Catalyst 6500 系列 交换 机 ， 如 图 2-13 所 示 。 这 一 系列 交换 机 属于 高 端 模块 
化 、 核 心路 由 交换 机 ， 其 中 以 6509 应 用 最 为 广泛 。 它 能 够 通过 多 种 机 箱 配置 和 LANAWAN/ 
MAN 接口 提供 可 扩展 的 性 能 和 端口 密度 ， 提 供 3 插 槽 、6 插 槽 、9 插 槽 和 13 插 槽 的 机 箱 ， 
以 及 多 种 集成 式 服务 模块 ， 包 括 数 千 兆 位 网 络 安全 性 、 内 容 交 换 、 语 音 和 网 络 分 析 模 块 。 从 
48 端口 到 576 端口 的 10/100/1000 以 太 网 布线 室 到 能 够 支持 192 个 1Gbit/s 或 32 个 10Gbit/s 
骨 王 端口， 提供 每 秒 数 亿 个 数据 包 处 理 能 力 的 网 络 核心 ， 思 科 Catalyst 6500 系列 能 够 借助 元 
余 路 由 与 转发 引擎 之 间 的 故障 切换 功能 延长 网 络 正 党 运 行 时 间 。 














图 2-13 ”思科 Catalyst 6500 系列 交换 机 


2. 中 端 交换 机 

思科 Catalyst 4500 系列 交换 机 属于 中 端 交 换 机 产品 ， 也 是 模块 化 交换 机 ， 如 图 2-14 所 
示 。 这 个 系列 包括 四 种 机 箱 : 4510R-E (10 个 插 槽 ) 、4507R-E (7 个 插 槽 ) 、4506-EE〈6 个 插 
槽 ) 和 4503-E (3 个 插 槽 ) 。 思 科 Catalyst 4500 系列 采用 统一 的 架构 ， 并 使 用 能 够 扩展 到 388 
个 以 太 网 端口 的 现 有 思科 4000 系列 线路 卡 。 思 科 Catalyst 4500 系列 包括 “典型 ”管理 引擎 
和 线路 卡 ， 以 及 新 开发 的 “E 系列 ”管理 引擎 和 线路 卡 。 典 型 管理 引擎 和 线路 卡 的 每 个 线 
路 卡 插 槽 提供 6 千 兆 交换 容量 ， 转 发 性 能 为 102Mpps。 新 开发 的 E 系列 管理 引擎 和 线路 卡 提 
供 了 很 多 增强 特性 ， 包 括 每 个 线路 卡 插 槽 提供 24 千 兆 交换 容量 ， 以 及 250Mpps 的 总 转发 性 
能 。 

思科 Catalyst 3500 系列 交换 机 也 属于 中 端 产品 。 其 基本 特性 包括 背 板 带宽 高 达 
10Gbit/s, 转 发 速率 为 7.5Mpps， 它 支持 250 个 VLAN， 支 持 I[EEE 802. 10 和 ISL Trunking, 支 
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Cisco Catalyst4503-E Cisco Catalyst4507R-E Cisco Catalyst4510R-E Cisco Catalyst4506-E 


图 2-14 ”思科 Catalyst 4500 系列 交换 机 


持 CGMP 网 / 千 兆 以 太 网 交换 机 ， 可 选 元 余 电源 等 。 

3. 低 端 交换 机 

思科 Catalyst1900 和 Catalyst 2900 是 低 端 产品 的 典型 代表 ， 这 些 交 换 机 基本 上 都 是 固化 
交换 机 。 这 一 类 交换 机 一 般 具 有 24/48 个 10A100Mbit/s 自 适 应 以 太 网 端口 和 两 个 干 兆 以 太 
网 端口 ,24G 背 板 带 宽 ， 带 可 热 插 拔 的 元 余 电源 ， 有 一 系列 容错 特征 和 网 管 特性 。 


2.5.2 路 由 器 简介 


思科 提供 了 业界 范围 最 广 、 灵 活性 最 高 的 安全 、 高 性 能 接 人 路 由 需 、 集 成 多 业务 路 由 上 需 
和 汇聚 路 由 右 ， 可 为 最 广泛 的 机 构 部 署 种 类 丰富 的 服务 ， 其 范围 从 家 庭 办 公 机 构 、 小 型 办 公 
机 构 直 到 大 型 企业 的 分 支 机 构 和 总 部 。 

思科 路 由 器 产 品 有 三 个 特点 : 它 的 路 由 絮 是 模块 化 的 、 可 预制 的 及 可 进行 混合 配置 的 。 
另外 ， 思 科 还 与 完全 的 路 由 器 配置 一 起 提供 针对 个 人 计算 机 (PC) 设计 的 路 由 噩 平台。 将 
路 由 顺和 小 型 集 线 融 结合 在 一 起 ， 形 成 一 种 适 于 小 型 办 公 室 安装 的 设备 。 在 网 络 环境 中 ， 思 
科 路 由 噩 成 功 地 实现 离 不 开 正确 的 布局 和 配置 ， 每 台 路 由 需 都 担负 一 种 特定 的 职责 。 

从 应 用 的 角度 ， 思 科 路 由 顺 拥 有 全 面 的 产品 组 合 ， 思 科 推 出 了 分 文 机 构 路 由 器 、 数 据 中 
心 互联 平台 路 由 右 、 移 动 互联 网 路 由 器 、 服 务 提供 商 核心 路 由 右 、 服 务 提供 商 边缘 路 由 屁 、 
精 窒 系 列 路 由 絮 、 广 域 网 汇聚 与 互联 网 边缘 路 由 屁 等 多 种 产品 。 下 面 分 别 介绍 儿 球 比较 典型 
的 路 由 器 产品。 

1. 高 端 路 由 器 

思科 推出 的 高 端 路 由 事主 要 有 ASR 1000 系列 汇聚 服务 路 由 噩 、XR 12000 系列 路 由 噩 、 
12400 系列 路 由 器 、12000 系列 路 由 需 、 
10000 系列 路 由 器 ， 还 有 7600、7500、 











7200 系列 路 由 器 。 这 一 类 路 由 器 都 是 具有 2 
强大 路 由 能 力 的 模块 化 路 由 器 。 如 图 2-15 3 
所 示 7600 系列 路 由 器 。 





思科 推出 的 7600 业务 路 由 器 可 在 运营 
商 的 网 络 边缘 提供 城 域 网 和 广域网 的 连接 ， 
主要 致力 于 以 干线 速 提供 高 起 点 的 耳 业 


务 。 该 产品 系列 可 在 多 种 高 性 能 接口 上 把 Sl 0 
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直接 光纤 连接 与 丰富 的 智能 IP 业务 进行 组 合 ， 使 得 电信 运营 商 能 使 其 网 络 以 光速 文 持 业务 。 
思科 7600 业务 路 由 器 是 Cisco 端 到 端 电 信 城 域 以 太 网 解决 方案 的 重要 组 件 。 

思科 7600 系列 路 由 器 的 核心 是 思科 7600 路 由 交换 处 理 器 720 ( RSP 720) ， 它 专门 设计 
用 来 提供 高 可 扩展 性 ， 具 有 出 色 性 能 和 快速 融合 能 力 ， 以 满足 当前 和 未 来 要 求 的 语音 、 视 
频 、 数 据 和 移动 四 网 合 一 服务 。 思 科 7600 RSP 720 采用 了 与 思科 Supervisor Engine 720 相同 
的 高 性 能 720-Gbit/s 交换 矩阵 ， 并 结合 了 全 新 、 基 于 ASIC 的 转发 引擎 。 这 个 单一 模块 提供 
了 每 插 权 40Gbit/s 的 交换 抢 阵 功能 ， 文 持 4 端口 万 兆 以 太 网 和 48 端口 10A100/1000 密度 线 
卡 。 和 凭借 对 于 IPv4 、IPv6 单 播 和 组 播 ， 以 及 MPLS 的 硬件 转发 性 能 ， 思 科 7600 RSP 720 能 
够 提供 高 速 集中 转发 和 丰富 的 数据 包 处 理 特性 ， 如 访问 控制 列表 (ACL) 、QoS、MPLS VPN 
等 。 通 过 将 思科 7600 RSP 720 与 分 布 式 转发 卡 (DFC) 相 结 合 ， 整 机 性 能 可 扩展 至 
400Mpps。 

2. 中 端 路 由 器 

思科 中 端 路 由 器 主要 包括 3600 系列 、3700 系列 、3800 系列 路 由 器 ， 如 图 2-16 所 示 。 
思科 3800 系列 的 集成 化 服务 路 由 架构 构建 于 强大 的 
思科 3700 系列 路 由 器 的 基础 之 上 ， 它 内 栎 并 集成 了 
安全 和 话音 处 理 以 及 先进 服务 ， 以 迅速 部 署 新 应 用 ， 
包括 应 用 层 功 能 、 智 能 网 络 服务 和 融合 通信 。 思 科 
3800 系列 文 持 每 插 柳 多 个 快速 以 太 网 接口 、 时 分 多 
路 复 用 (TDM) 互联 ， 以 及 对 于 支持 802. 3af 以 太 网 
电源 (PoE) 的 全 面 集成 配 电 等 的 带宽 要 求 。 它 同时 
支持 现 有 模块 化 接口 系列 。 这 确保 了 持续 投资 保护 ， 




















应 二 [网 、 We 图 2-16 思科 3825 和 思科 
可 在 部 署 新 服务 和 应 用 时 支持 网 络 扩展 或 技术 变动 。 Bt 


通过 将 多 个 独立 设备 的 功能 集成 人 单一 小 巧 设备 之 


中 ， 思 科 3800 系列 大 幅 降低 了 管理 远程 网 络 的 成 本 和 复杂 度 。 

3. 低 端 路 由 器 

思科 低 端 路 由 器 有 应 用 于 家 庭 、 办 公 室 等 无 线 网 络 的 思科 SOHO 系列 、800 系列 路 由 
器 ， 也 有 用 于 中 小 型 企业 与 分 支 结构 互联 的 1600 、1700 、1800 、2500 、2800 等 系列 路 由 器 ， 
如 图 2-17 所 示 。 这 一 类 路 由 器 一 般 都 是 集成 多 业务 路 由 器 ， 均 提供 艇 入 式 硬件 加 密 加 速 、 
可 选 防火 墙 、 入 侵 预 防 和 应 用 程序 服务 。 此 外 ， 这 些 平台 还 支持 业界 最 广泛 的 有 线 和 无 线 连 
接 选 项 ， 如 TI1/El1、xDSL、3G 和 GE。 





思科 890C 路 由 器 思科 1941 路 由 器 思科 2800 路 由 器 
图 2-17 思科 低 端 系列 路 由 器 


思科 2800 系列 路 由 天 能 以 线 速 为 多 条 T1/E1/xDSL 连接 提供 多 种 高 质量 并 发 服务 。 这 
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些 路 由 融 提 供 了 内 藤 加 密 加 速 和 主板 话音 数字 信号 处 理 恬 〈DSP) 搬 槽 ， 入 侵 保护 和 防火 墙 
功能 ， 集 成 化 呼叫 处 理 和 语音 留言 ， 用 于 多 种 连接 需求 的 高 密度 接口 ， 以 及 充足 的 性 能 和 插 
槽 密度 ， 以 用 于 未 来 网 络 扩展 和 高 级 应 用 。 思 科 2800 系列 可 满足 中 小 型 企业 和 企业 分 支 机 
构 的 IP 通信 需求， 同时 在 单一 路 由 平台 中 提供 业界 领先 的 安全 性 。 


本 章 小 结 


网 络 设备 及 部 件 是 连接 到 网 络 中 的 物理 实体 。 网 络 设备 的 种 类 繁多 ， 不 断 推陈出新 。 基 
本 的 网 络 设备 有 : 计算 机 (PC、 工 作 站 ) 、 服 务 器 、 人 集线器 、 交 换 机 、 网 桥 、 路 由 器、 网 
关 、 网 络 接口 卡 〈《NIC) 、 无 线 接 人 点 〈WAP) 、 打 印 机 和 调制 解 调 右 ， 利 用 这 些 基本 的 网 
络 设备 可 以 组 建 局 域 网络 或 更 大 规模 的 互联 网 络 。 在 这 些 设备 中 ， 专 属于 网 络 互 连 设备 的 主 
要 包括 中 继 咒 、 网 桥 、 集 线 咒 、 网 关 、 交 换 机 、 路 由 噩 等 。 

本 草 主 要 介绍 的 内 容 如 下 : 

1) 介绍 了 网 络 互 连 的 概念 和 工作 原理 。 

2) 分 别 介绍 了 交换 机 、 路 由 需 等 常用 网 络 设备 的 工作 原理 和 基本 特性 ; 重点 介绍 以 太 
网 交换 机 和 路 由 咒 的 工作 原理 和 主要 性 能 指标 。 

3) 针对 业界 主流 的 思科 交换 机 和 路 由 需 产 品 进行 了 介绍 ， 通 过 对 这 些 产品 的 了 解 可 以 
增强 对 网 络 互 连 设备 原理 的 理解 。 
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3.1 服务 器 技术 概述 


计算 机 网 络 发 展 的 目标 之 一 是 给 人 们 市 来 快捷 便利 的 上 网 服务 和 提供 信息 服务 。 如 和 人们 
出 门 订 票 、 航 班 、 旅 游 、 酒 店 查 询 等 ,这些 信息 服务 都 依赖 于 互联 网 ， 而 且 它 们 依赖 于 大 量 
的 服务 器 及 信息 系统 等 平台 的 运行 。 互 联网 的 高 度 发 达 也 提供 了 可 以 访问 的 海量 信息 资源 ， 
这 些 资源 都 存放 在 服务 器 和 存储 系统 上 。 人 们 日 常 访 问 的 网 络 服务 如 WWW、FTP、DNS 等 
都 需要 部 署 在 服务 器 上 。 因 此 服务 融 是 组 建 计 算 机 网 络 必 需 的 设备 之 一 。 服 务 咒 作为 网 络 的 
节点 ， 存 储 、 处 理 网 络 上 80% 的 数据 、 信 息 ， 因 此 也 被 称 为 网 络 的 灵魂 。 

服务 器 ( Server) 是 网 络 上 一 种 为 客户 端 计算 机 (简称 客户 机 ，Client) 提供 各 种 服务 
的 高 可 用 性 计算 机 。 从 功能 上 说 ， 它 负责 侦 听 网 络 上 其 他 客户 机 提交 的 服务 请 求 ， 并 提供 相 
应 的 服务 ; 从 通信 的 对 象 来 讲 ， 通常 是 一 对 多 的 通信 模式 ; 具体 到 硬件 上 ， 它 是 网 络 环境 中 
的 高 性 能 计算 机 ， 它 在 网 络 操作 系统 的 控制 下 ， 将 与 其 相连 的 硬盘 、 磁 带 、 打 印 机 、 调 制 解 
调 器 及 各 种 专用 通信 设备 提供 给 网 络 上 的 客户 站 点 共享 ， 也 能 为 网 络 用 户 提供 集中 计算 、 信 
息 发 布 及 数据 管理 等 服务 。 它 的 高 性 能 主要 体现 在 高 速 运算 能 力 、 长 时 间 的 可 靠 运 行 、 强 大 
的 外 部 数据 吞吐 能 力 等 方面 。 服 务 器 也 必须 具有 承担 服务 并 且 保障 服务 的 能 

服务 需 是 一 种 高 性 能 的 计算 机 ， 但 是 服务 器 区 别 于 PC， 除 了 在 服务 器 自身 的 硬件 性 能 
上 有 差别 ， 服 务 右 还 必须 应 用 在 网 络 计算 环境 中 ， 并 且 要 为 网 络 中 的 客户 端 提供 服务 。 一 全 
脱离 了 网 络 的 服务 器 是 没有 太 大 意义 的 ， 即 使 配置 再 高 ， 也 只 能 被 称 作 是 一 全 高 性 能 计算 
机 ， 也 无 法 实现 为 客户 端 提供 网 络 服务 的 功能 。 在 网 络 中 ， 服 务 需 为 客户 端 提 供 数据 存 储 、 
查询 、 数 据 转 发 、 发 布 等 功能 ， 维 系 着 整个 网 络 环境 的 正常 运行 。 

服务 器 从 硬件 构成 上 与 我 们 平常 所 用 的 PC 有 很 多 相似 之 处 ， 服 务 右 和 PC 都 有 CPU 
《中央 处 理 咒 ) 、 内 存 、 硬 盘 、 各 种 总 线 等 。 对 于 服务 需 来 说 ， 它 能 够 提供 各 种 共享 服务 
(网 络 、Web 应 用 、 数 据 库 、 文 件 、 打 印 等 ) 以 及 其 他 方面 的 高 性 能 应 用 ， 它 的 高 性 能 主要 
体现 在 高 速度 的 运算 能 力 、 长 时 间 的 可 笔 运 行 、 强 大 的 外 部 数据 吞吐 能 力 等 方面 。 一 般 服 务 
器 都 是 运行 比较 关键 的 信息 系统 等 重要 软件 的 平台 ， 是 信息 化 的 核心 设备 之 一 。 服 务 右 从 硬 
件 构造 和 设计 上 针对 网 络 系统 的 运行 有 特别 的 考虑 ， 在 处 理 能 力 、 稳 定性 、 可 靠 性 、 安 全 
性 、 可 扩展 性 、 可 管理 性 等 方面 比 PC 有 更 多 优势 。 特 别 在 可 靠 性 上 ， 针 对 多 用 户 多 任务 环 
境 下 的 服务 融 必 备 的 可 靠 性 ，PC 是 不 具备 这 种 性 能 的 。 用 PC 当 作 服务 咒 的 用 户 一 定 都 曾 
经 历 过 突然 的 停机 、 意 外 的 网 络 中 断 、 不 时 的 丢失 存储 数据 等 ， 这 都 是 因为 PC 的 设计 制造 
从 来 没有 保证 过 多 用 户 多 任务 环境 下 的 可 靠 性 ， 而 一 旦 发 生 严 重 故 障 ， 其 所 带 来 的 经 济 损失 
将 是 难以 预料 的 。 但 一 台 服 务 絮 所 面 对 的 是 整个 网 络 的 用 户 ， 需 要 7 x24 小 时 不 间断 工作 ， 
所 以 它 必须 具有 极 高 的 稳定 性 。 男 一 方面 ， 为 了 实现 高 速 以 满足 众多 用 户 的 需求 ， 服 务 器 通 
过 采用 对 称 多 处理 避 (SMP) 安装 、 择 入 大 量 的 高 速 内 存 来 保证 工作 。 它 的 主板 可 以 同时 安 
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装 几 个 甚至 几 十 、 上 百 个 CPU (服务 絮 一 般 所 用 的 CPU 也 不 是 普通 的 CU， 是 厂商 专门 为 
服务 器 开发 生产 的 ) 。 内 存 方面 当然 也 不 一 样 ， 无 论 在 内 存 容 量 ， 还 是 性 能 、 技 术 等 方面 都 
有 根本 的 不 同 。 

尽管 现在 服务 器 技术 已 经 越 来 越 多 地 被 应 用 于 一 些 高 端 PC， 如 64 位 、 多 核 技 术 ， 但 是 
与 PC 的 人 硬件 和 性 能 指标 上 还 是 有 很 大 的 不 同 。 另 外 ,服务器 为 了 保证 足够 的 安全 性 ， 还 采 
用 了 大 量 普通 PC 没有 的 技术 ， 如 元 余 技 术 、 系 统 备份 、 在 线 诊断 技术 、 故 隐 预 报警 技术 、 
内 存 纠 错 技术 、 热 插 拔 技术 和 远程 诊断 技术 等 ， 使 绝 大 多 数 故 障 能 够 在 不 停机 的 情况 下 得 到 
及 时 的 修复 ， 具 有 极 强 的 可 管理 性 。 

服务 需 被 大 量 广泛 地 应 用 于 数据 中 心 和 网 络 机 房 中 ， 著 名 服务 器 品牌 有 SUN 、IBM、HP 
(惠普 )、DELL 〈 戴 尔 ) 、 联 想 、 浪 淹 、 曙 光 等 ， 这 些 广 商都 提供 不 同 级 别 的 服务 需 产 品 ， 
满足 不 同 用 户 的 需求 。 


3.2 服务 器 硬件 基础 


服务 器 的 硬件 指标 主要 包括 服务 噩 的 运算 速度 、 数 据 吞 吐 能 力 、 内 外 存 容 量 。 这 些 便 件 
标 取决 于 服务 带 的 人 硬件 染 构 、 各 个 部 件 的 蕊 片 处 理 能 力 ， 通 第 包括 服 务 融 CU、 主板、 
内 存 、 硬 盘 等 部 件 。 


3.2.1 服务 器 的 CPU 


1. 服务 器 CPU 简介 

服务 器 CPU 是 指 专门 在 服务 器 上 使 用 的 CPU ,区 别 于 在 PC 上 安装 使 用 的 CPU。CPU 是 
衡量 服务 器 性 能 的 首要 指标 。 目 前 ,服务 需 的 CPU 仍 按 CPU 的 指令 系统 来 区 分 ,通常 分 为 
CISC 型 CPU 和 RISC 型 CPU 两 类 。 随 着 技术 的 发 展 , 业 界 新 推出 了 一 种 64 位 的 超 长 指令 集 
架构 (Very Long Instruction Word,VLIW ) 指令 系统 的 CPU , 超 长 指令 字体 系 结构 起 源 于 通用 处 
理 器 ,提供 了 硬件 开销 相对 较 低 的 指令 级 并 行 , 在 能 人 式 系 统 中 已 经 得 到 了 广泛 应 用 。 

CISC 型 CPU 是 基于 复杂 指令 集 的 CPU， 复 杂 的 指令 系统 必然 增加 微 处 理事 的 复杂 性 ， 
复杂 指令 集 CPU 内 部 将 较 复 杂 的 指令 译 码 分 成 几 个 微 指令 去 执行 ， 其 优点 是 指令 多 、 开 发 
程序 容易 ， 但 是 由 于 指令 复杂 ， 执 行 工 作 效 率 较 差 ， 处 理 数据 速度 较 慢 。286/386/486/ 
Pentium 的 结构 都 为 CISC 型 CPU 。 

RISC 是 在 CISC 指令 系统 基础 上 发 展 起 来 的 。RISC 型 CPU 是 基于 精简 指令 集 的 CPU。 
相对 于 CISC 型 CPU，RISC 型 CPU 不 仪 精简 了 指令 系统 ， 还 采用 了 超标 量 和 超 流水 线 结构 ， 
大 大 增加 了 并 行 处 理 能 力 。 目 前 在 中 高 档 服 务 费 中 普遍 采用 这 一 指令 系统 的 CPU， 特 别 是 
高 档 服务 器 全 都 采用 RISC 指令 系统 的 CPU。 在 RISC 架构 的 基础 上 ， 世 界 上 各 大 知名 服务 
器 厂商 纷纷 研发 了 自己 的 CPU， 如 IJBM 公司 的 PowerPC、SUN 公司 的 SPARC 系列 、HP 公司 
的 RISC 芯片 PA-RISC 等 ， 如 图 3-1 所 示 。 

2. Intel 处 理 器 简介 

Itel (英特尔 ) 公司 是 全 球 最 大 的 半导体 芯片 制造 商 ，Intel 生产 的 x86 系列 CPU 
(286/386/486/Pentium) 推动 了 PC 的 广泛 应 用 和 发 展 。Intel 生产 了 一 批 应 用 于 服务 器 的 
CPU， 主 要 有 Pentimu I Xeon、Pentimu 亚 Xeon、Pentium 了 Sever、P4 Xeon 和 Xeon MP 














57 











图 3-1 RISC 型 CPU 


( Multi Processing Platform ， 多 处 理 器 平台 ) 一 系列 Xeon 系列 CPU。 

2001 年 ，Intel 创新 地 推出 了 64 位 的 lanium 〈 安 腾 ) 处 理 器 ， 这 是 业界 第 一 个 64 位 的 
CPU。2002 年 ， 英 特 尔 公司 又 将 推出 Itanium 家 族 的 第 二 代 产 品 Itanium 2 处 理 需 。LItani- 
um 系列 CPU 是 与 其 他 CPU 完全 不 同 的 64 位 CPU， 专 门 用 在 高 端 企业 级 64 位 计算 环境 。 许 
多 在 全 球 业 界 领先 的 公司 如 IBM、HP、DELL 都 选择 基于 Intel 推出 的 Ianium 2 处 理 器 作为 
服务 器 CPU ， 主 要 基于 Itanium 2 微 体 系 结构 的 特性 包括 到 集成 高 速 缓存 的 快速 访问 ， 处 理 
器 与 内 存 之 间 的 出 色 带 宽 ， 以 及 具有 高 指令 执行 速度 和 吞吐 率 的 大 量 执行 资源 。 

近年 来 ， 多 核 成 为 服务 器 CPU 的 主旋律 。Intel 相继 研发 出 Xeon Clovertown 四 核 、Xeon 
MP Tigerton 四 核 、Dunnington Xeon 六 核 处 理 器 等 和 Corei7 六 核 等 一 系列 多 核 服 务 器 CPU ， 


提供 功率 更 低 、 更 强大 的 处 理 能 力 和 计算 能 力 ， 如 图 3-2 所 示 。 












3. AMD 处 理 器 简介 

AMD 是 全 球 范 围 内 知名 的 、 以 生产 和 研发 高 性 能 CPU 、 高 性 能 独立 显卡 CPU 、 主 板 蕊 
片 组 三 大 组 件 的 半导体 公司 。 自 2001 年 起 ，AMD 相继 推出 了 Athlon ( 速 龙 ) MP、K5 、K6、 
K8 、AMD Opteron ( 卑 龙 ) 、AMD Phenom ( 漳 龙 ) 等 处 理 器 ，AMD 也 提供 全 系列 64 位 CPU 
产品 。 为 了 与 Intel 竞争 ，AMD 也 推出 了 多 核 处 理 器 (64 位 AthlonX2 双核 、Phenom X3 三 
核 、Phenom 开 四 核 或 Athlon [四 核 、Phenom 卫 X6 六 核 ) ， 如 图 3-3 所 示 。 





AMD 


Dpteron 


2 





图 3-3 AMD 多 核 处 理 需 
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3.2.2 服务 器 的 关键 部 件 


1. 服务 器 的 主板 
服务 器 要 求 满足 常年 7 x24 小 时 的 无 故障 运行 ， 最 核心 的 板 卡 就 是 主板 。CPU 、 内 存 、 
硬盘 、 网 络 适 配器 等 部 件 都 是 与 主板 连接 。 因 此 ， 主 板 必须 能 满足 服务 器 应 用 的 高 稳定 性 、 
高 性 能 、 高 兼容 性 、 可 持续 性 的 要 求 。 由 于 服务 器 的 长 时 间 运 行 、 巨 大 的 数据 转换 量 、 电 源 
功 耗 量 、LO 吞吐 量 ， 因 此 对 服务 器 主板 的 要 求 与 普通 PC 是 不 同 的 。 
服务 器 主板 对 性 能 方面 的 要 求 主要 体现 在 对 数据 吞吐 量 的 要 求 上 ， 包 括 服务 器 内 存 及 支 
持 内 存 数量 、PCI-X 插 槽 、 板 载 SCSI 接口 或 者 RAID 接口 等 。 服 务 器 主板 上 面 承载 一 些 数据 
转换 量 、 电 源 功 耗 量 、L/O 和 春 吐 量 ， 比 如 高 速 SCSI 接口 、 高 速 便 盘 等 ， 在 主板 设计 时 对 这 
些 设备 与 主板 连接 的 要 求 进行 了 特别 考虑 。 
芯片 组 (Chipset) 是 主板 的 核心 组 成 部 分 。 主 板 芯片 组 几乎 决定 着 主板 的 全 部 功能 ， 
其 中 ，CPU 的 类 型 、 主 板 的 系统 总 线 频 率 、 内 存 类 型 、 容 量 和 性 能 、 显 卡 插 槽 规格、 扩展 
槽 的 种 类 与 数量 、 扩 展 接口 的 类 型 和 数量 决定 着 服务 器 的 性 能 。 芯 片 组 PCI Express 总 线 技 
术 是 当前 最 为 先进 的 一 种 总 线 技术 。 
2. 服务 器 的 内 存 
服务 器 内 存 (RAM) 在 各 种 技术 上 相对 兼容 机 来 说 要 严格 得 多 ,不 仅 内 存 的 速度 要 求 
高 ， 特 别 是 内 在 纠 错 技 术 能 力 和 稳定 性 方面 要 求 更 高 。 因 此 内 存 也 是 制约 服务 器 性 能 的 人 硬件 
条 件 之 一 。 服 务 姻 内 存 有 2G、4G、8G、16G 甚至 高 达 512C。 服 务 器 内 存 与 普通 PC 内 存在 
外 观 和 结构 上 没有 什么 明显 的 实质 性 区 别 ， 主 要 是 在 内 存 上 引入 了 一 些 新 的 特有 技术 ， 如 
ECC (错误 检查 和 纠正 ) 、ChipKil (IBM 推出 的 一 种 新 的 ECC 内 存 保护 标准 )、Register 
(寄存 器 ) 、FB-DIMM (全 缓冲 内 存 模 组 ) 、 热 插 拨 技术 等 ， 具 有 极 高 的 稳定 性 和 纠 错 性 能 。 
如 今 常 用 的 服务 器 内 存 主要 有 ECC DDR、ECC DDR2、ECC DDR3 ， 还 有 一 些 基 于 FB-DIMM 
的 高 端 服务 器 系统 的 内 存 体系 。 
3. 服务 器 的 硬盘 
服务 器 的 硬盘 主要 用 来 存储 和 读 写 非常 重要 的 数据 ， 而 且 服务 器 的 硬盘 要 能 够 适应 大 数 
量 读 写 、 超 长 运行 时 间 的 工作 环境 。 硬 盘 是 服务 器 系统 和 信息 资源 的 数据 仓库 ， 所 有 的 信 
息 、 程 序 、 软 件 、 资 源 等 数据 都 存储 在 这 里 ， 硬 盘 一 旦 损坏 ， 将 会 造成 严重 后 果 。 因 此 要 求 
硬盘 读 写 速度 快 、 可 靠 性 高 、 安 全 性 高 。 
服务 器 硬盘 的 转速 通常 要 求 达到 10000r/min (每 分 钟 转速 )、15000r/min 以 上 ， 数 据 传 
输 率 分 别 可 以 达到 320MBs。 服 务 器 硬盘 一 般 采 用 SMART 技术 ( 自 监测 、 分 析 和 报告 技 
术 ) ， 同 时 硬盘 三 商 都 采用 了 各 自 独 有 的 先进 技术 来 保证 数据 的 安全 。 服 务 器 硬盘 一 般 都 能 
承受 300 ~1000G 的 冲击 力 。 热 插 拔 (Hot Swap) 是 一 些 服 务 器 文 持 的 硬盘 安 闭 方式 ， 可 以 
在 服务 器 不 停机 的 情况 下 ， 拔 出 或 插 和 人 一 块 和 硬盘， 操作 系统 能 自动 识别 硬盘 的 改动 。 这 种 技 
术 对 于 24h 不 间断 运行 的 服务 器 来 说 ， 是 非常 必要 的 。 
目前 ， 服 务 需 市 场 上 主要 采用 三 种 类 型 的 硬盘 : SATA 硬盘 、SCSI 人 硬盘 以 及 SAS 硬盘 ， 
中 SATA 硬盘 主要 应 用 在 PC、 低 端 服务 器 领域 ， 而 SCSI 和 SAS 硬盘 则 面向 中 高 端 服务 
。 大 多 数 服务 器 一 般 采 用 数据 吞吐 量 大 、CPU 占有 率 极 低 、 高 速 、 稳 定 、 安 全 的 SCSI 硬 
。SAS 即 串 行 连接 SCSTI， 是 新 一 代 的 SCSI 技术 ， 继 并 行 SCSI 接口 之 后 开发 出 的 全 新 接 
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口 ， 可 进一步 改善 存储 系统 的 效能 、 可 用 性 和 扩充 性 ， 并 且 提 供与 SATA 硬盘 的 兼容 性 ， 如 


图 3-4 所 示 。 








图 3-4 服务 器 热 插 拔 SAS 硬盘 


现在 业界 推出 的 一 些 中 高 端 服务 器 的 硬盘 类 型 接口 一 般 为 可 搬 拔 SAS、 单 硬盘 容量 
146G 或 300G、 硬 盘 数 量 一 般 可 配置 到 16 块 甚至 更 多 。 

4. 服务 器 的 电源 

服务 器 电源 是 指使 用 在 服务 右上 的 电源 (POWER)， 它 和 PC 电源 一 样 ， 都 是 一 种 开关 
电源 。 优 质 的 电源 能 提供 给 服务 器 优质 可 靠 的 能 量 ， 能 防御 来 自 电 网 的 污染 或 干扰 ， 能 承受 
负载 的 各 种 变化 。 服 务 器 电源 的 品质 优 劣 直接 影响 了 硬件 的 安全 和 系统 的 稳定 。 在 中 高 端 服 
务 絮 中 为 了 保证 供电 需求 和 可 靠 性 ， 大 多 采用 元 余 电源 系统 ， 即 多 余热 插 拔 电源 ， 可 以 进行 


在 线 更 换 ， 如 图 3-5 所 示 。 


区 CPR) 5 or 





图 3-5 服务 器 热 插 拔 电源 


服务 器 电源 按照 标准 可 以 分 为 ATX 电源 和 SSI 电源 两 种 。ATX 标准 使 用 较为 普遍 ， 主 
要 用 于 台式 机 、 工 作 站 和 低 端 服务 辟 ; SSI 标准 是 随 着 服务 器 技术 的 发 展 而 产生 的 ， 适 用 于 
各 种 档次 的 服务 器 。 

1) ATX 电源 是 目前 PC 和 服务 右 中 普遍 使 用 的 标准 电源 ， 包 括 单 电源 和 元 余 ( Redun- 
dant) 电源 。 单 电源 系统 功率 一 般 在 125 ~350W 之 间 ， 主 要 使 用 在 PC 和 低 端 服务 器 上 。 

2) SSI 电源 规范 是 Intel 公司 联合 一 些 主要 的 Intel 架构 服务 需 生 产 商 推出 的 新 型 服务 需 
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电源 规范 。SSI 的 推出 规范 了 服务 絮 电 源 技术 、 降 低 了 开发 成 本 、 延 长 了 服务 右 的 使 用 寿 
命 。 根 据 使 用 环境 、 规 模 的 不 同 ，SSI 电源 规范 还 有 更 多 针对 低 问 服务器、 中 高 端 服务 右 更 
为 详细 的 规范 。 随 着 SSI 标准 的 更 加 规范 ， 服 务 吉 电源 的 发 展 趋势 是 : 低压 化 、 大 功率 化 、 
高 密度 化 ; 电源 越 做 越 小 、 电 源 的 功率 密度 趋 于 增 大 ， 同 时 符合 国际 上 电源 认证 、 节 能 要 
求 。 

5. 服务 器 的 风扇 

现在 随 着 服务 顺 的 集成 度 越 来 越 高 ， 如 刀片 服务 需 属 于 配件 较为 密集 的 服务 器 ， 因 此 散 
热 问题 也 是 影响 服务 器 稳定 运行 的 重要 因素 之 一 。 风 扇 在 服务 器 的 散热 系统 中 起 着 很 大 的 作 
用 ， 对 于 服务 豆 CPU、 机 箱 、 显 卡 和 电源 等 所 用 的 风扇 是 服务 咒 正 常 稳定 工作 必 不 可 少 的 
过 二 

由 于 服务 器 使 用 的 CPU 的 频率 通常 较 高 ， 有 的 还 是 双 CPU 或 多 CPU， 加 上 高 转速 的 
SCSI 硬盘 和 大 功率 电源 ， 这 些 部 件 发 出 的 热量 通常 很 大 ， 因 此 机 箱 内 空气 很 快 变 热 ， 温 度 
升 高 。 能 否 尽快 有 效 地 排出 这 些 热 空气 将 是 服务 屁 稳 定 工作 的 前 提 条 件 。 为 了 达到 更 好 的 散 
热 效 果 ， 服 务 絮 机 箱 设计 有 多 个 排 风口 ， 而 且 各 个 排 风口 针对 系统 不 同 的 发 热源 进行 散热 。 

服务 融 机 箱 除 了 要 安装 多 个 风 斋 外 ， 机 箱 内 的 散 
热 系 统 也 是 非 同 寻 第 的 。 一 般 情 况 下 在 服务 融 机 箱 彰 
面 有 两 个 风扇 位 ， 可 供 安装 两 个 风扇 ， 形 成 一 个 良好 
的 散热 循环 系统 ， 将 机 箱 内 的 热 空气 迅速 抽出 ,以降 “. 
低 机 箱 内 的 温度 。 中 高 端 服务 融 还 设计 了 元 余 风 扇 ， 
以 避免 由 于 系统 风扇 损坏 而 使 系统 内 部 温度 升 高 产生 
工作 不 稳定 或 停机 现象 ， 如 图 3-6 所 示 。 

6. 服务 器 的 网 络 接口 

服务 融 一 般 都 承担 重要 的 网 络 应 用 。 服 务 避 网 络 ”图 3-6 服务 器 机 箱 内 宛 余 散 热风 遍 
适配器 (网卡), 一般 是 用 于 服务 器 与 交换 机 等 网 络 
设备 之 间 的 连接 。 服 务 右 不 但 需要 有 卓越 的 服务 性 能 ， 同 样 网 络 接口 也 非常 重要 ， 即 确保 服 
务 骨 不 能 失去 网 络 连 接 而 使 得 服务 发 生 中 断 。 目 前 中 高 档 服务 顺 一 般 都 配置 有 2 块 或 4 块 二 
兆 以 太 网 网 卡 ， 如 图 3-7 所 示 。 
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服务 器 网 卡 服务 器 网 络 千 兆 以 太 网 接口 
图 3-7 服务 器 网 络 接口 


业界 一 些 网 络 硬件 三 商都 推出 了 各 自 的 具有 容错 功能 的 服务 器 网 卡 。 例 如 Intel 推出 了 
三 种 容错 服务 器 网 卡 ， 它 们 分 别 采 用 了 Adapter Fault olerance (AKFT， 网 卡 出 错 元 余 ) 、A- 
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dapter Load Balancing (ALB， 网 卡 负载 平衡 ) 、Fast Ether Channel (FEC， 人 快速 以 太 网 通道 ) 
技术 。 

(1) AFT 技术 

AFT 是 在 服务 器 和 交换 机 之 间 建 立 宛 余 连 接 ， 即 在 服务 器 上 安装 两 块 网卡 ， 一 块 为 主 网 
卡 ， 另 一 块 作 为 备用 网 卡 ， 然 后 用 两 根 网 线 将 两 块 网 卡 都 连 到 交换 机 上 。 在 服务 器 和 交换 机 
之 间 建 立 主 连 接 和 备用 连接 。 一 旦 主 连接 因为 数据 线 损坏 或 网 络 传输 中 断 连 接 失 败 ， 备 用 连 
接 会 在 几 秘 钟 内 自动 顶替 主 连 接 的 工作 ， 通 常 网 络 用 户 不 会 觉察 到 任何 变化 。 这 样 一 来 就 避 
人 兔 了 因 一 条 线路 发 生 故 障 而 造成 整个 网 络 瘫痪 ， 可 以 极 大 地 提高 网 络 的 安全 性 和 可 靠 性 。 

(2) ALB 技术 

ALB 是 让 服务 器 能 够 更 多 更 快 地 传输 数据 的 一 种 简单 易 行 的 技术 。 这 项 新 技术 是 通过 
在 多 块 网 卡 之 间 平 衡 数据 流量 的 方法 来 增加 吞吐 量 ， 每 增加 一 块 网 卡 ， 就 增 宽 100Mbit/s 或 
1000Mbit/s 通道 。 另 外 ，ALB 还 具有 AFT 同样 的 容错 功能 ， 一 旦 其 中 一 条 链 路 失效 ， 其 他 
链 路 仍 可 保障 网 络 的 连接 。 当 服务 器 网 卡 成 为 网 络 瓶颈 时 ，ALB 技术 无 须 划 分 网 段 ， 网 络 
管理 员 只 需 在 服务 右上 安装 两 块 具 有 ALB 功能 的 网 卡 ， 并 把 它们 配置 成 ALB 状态 ， 便 可 迅 
速 、 简 便 地 解决 瓶颈 问题 。 

(3) FEC 技术 

FEC 是 思科 ( Cisco) 公司 针对 Web 浏览 及 Intranet 等 对 否 吐 量 要 求 较 大 的 应 用 而 开发 
的 一 种 增 大 带宽 的 技术 。FEC 同时 也 为 进行 重要 应 用 的 客户 /服务 器 网 络 提供 高 可 靠 性 和 高 
速度 。 


3.2.3 服务 器 主要 性 能 指标 


用 户 总 希望 有 一 种 简单 、 高 效 的 度量 标准 ， 来 量化 评价 服务 怖 系统 ， 以 便 作 为 选 型 的 依 
据 。 但 实际 上 ， 服 务 顺 的 系统 性 能 很 难 用 一 两 种 指标 来 衡量 。 比 如 CPU 是 衡量 服务 絮 性 能 
最 重要 的 指标 之 一 ,但 是 没有 其 他 硬件 的 支撑 并 不 能 提升 服务 器 的 整体 性 能 。 服 务 器 从 硬件 
设计 到 管理 软件 上 是 一 个 非常 复杂 的 过 程 ， 应 从 主板 、CPU 、 芯 片 组 、 内 存 、 磁 盘 系统 、 网 
络 等 各 方面 便 件 进行 综合 考虑 ， 提 升 服务 需 的 全 面 性 能 。 

表 3-1 列举 了 一 些 常 见 的 服务 器 性 能 参数 。 在 实际 的 服务 咒 选 型 中 ， 要 结合 应 用 需求 ， 
选择 性 价 比较 高 的 服务 器 ， 也 可 以 很 好 地 保护 投资 。 

表 3-1 常见 服务 器 性 能 参数 表 










































































指标 项 参 数 
服务 器 外 形 塔 式 /机 哥 式 /刀片 式 / 机 柜 式 ，1U/2U/3U/4U/5U 等 高 度 
CPU 类 型 Intel\ AMD \ 自主 研发 CPU 
CPU 数量 标 配 数量 ， 最 大 可 装配 数量 
处 理 器 CPU 核心 双核 /四 核 /六 核 / 八 核 等 多 核 运 算 
缓存 二 级 缓存 、 三 级 缓存 大 小 
CPU 标 称 主 频 2GHz/2. 13GHz/2. 66GHz 等 不 同 主 频 
a 主板 芯片 组 是 否 支 持 双 路 以 上 的 CPU 架构 、 支 持 DDR3 
扩展 模 可 扩展 槽 的 数量 
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( 续 ) 
指标 项 参 数 
内 存 类 型 DDR2ZDDR3 ， 是 否 支持 ECC 
内 存 
内 存 大 小 标 配 数量 ， 内 存 插 槽 数 、 内 存 最 大 数量 
硬盘 大 小 标 配 硬盘 数量 、 大 小 
硬盘 类 型 是 否 支 持 热 插 拔 ，SATA/SAS 
内 部 存储 
硬盘 阵列 支持 RAIDO、1、5 等 情况 
存储 扩展 位 4 个 托 架 或 8 个 托 架 或 更 多 
电源 类 型 标准 电源 /大 功率 元 余 电 源 
电源 电源 数量 单 电 源 / 双 电源 /四 电源 
电源 功率 瓦 数 
散热 散热 风扇 是 否 支持 热 插 拔 、 配 置 元 余 风 扇 数 量 
网 络 接口 千 兆 位 网 络 接口 千 兆 位 网 络 接口 数量 
PCI 扩展 模 PCI-E 插 槽 数量 
其 他 接口 
IO 接口 USB 接口 、SD 插 柳 、RJ-45 接口 、D-SUB 接口 、 串 行 接口 等 数量 
软件 系统 是 否 随机 附带 相关 管理 软件 











3.3 ”服务 器 分 类 


服务 器 分 类 的 标准 有 很 多 ， 比 如 按照 应 用 级 别 分 类 ， 可 以 分 为 工作 组 级 、 部 门 级 和 企业 
级 服务 器 ; 按照 处 理 絮 个 数 分 类 ， 可 以 分 为 单 路 、 双 路 和 多 路 服务 器 ; 按照 处 理 如 架构 分 
类 ， 可 以 分 为 RISC 构架 和 CISC 架构 服务 融 ; 按照 服务 右 的 外 形 结构 分 类 ， 可 以 分 为 塔 式 
服务 器 、 机 架 式 服务 右 和 刀片 服务 器 。 最 常见 也 最 直观 的 分 类 方式 就 是 通过 服务 右 的 外 形 结 
构 进行 分 类 和 按 服务 顺 的 用 途 进行 分 类 。 


3.3.1 按 服 务 器 的 外 形 结构 分 类 


从 服务 器 外 形 结构 上 划分 ， 一般 可 以 分 为 塔 式 服 务 器 、 机 架 式 服务 器 、 刀 片 服务 絮 等 几 
种 类 型 ， 也 是 日 常 使 用 中 人 们 最 为 直观 和 形象 的 一 种 划分 方法 。 

1. 塔 式 服务 器 

塔 式 服务 顺 是 目前 应 用 最 为 广泛 、 最 为 常见 的 一 种 服务 器 。 塔 式 服务 带 在 外 观 上 就 像 一 
台 体积 比较 大 的 PC， 由 于 服务 咒 的 主板 扩展 性 强 、 板 卡 搬 槽 也 比 普通 PC 多 、 主 机 机 箱 也 比 
标准 的 ATX 机 箱 要 大 ， 一 般 都 会 预 留 足 够 的 内 部 空间 以 便 日 后 进行 硬盘 和 电源 的 元 余 扩 展 。 
因此 塔 式 服务 器 一 般 比 普通 PC 体积 大 一 些 。 

我 们 平时 常 说 的 通用 服务 器 一 般 都 是 塔 式 服务 器 ， 它 可 以 集 多 种 常见 的 服务 应 用 于 一 
喘 ， 不 管 是 速度 应 用 还 是 存储 应 用 都 可 以 使 用 塔 式 服务 器 。 塔 式 服务 器 的 机 箱 比 较 大 ， 服 务 
器 的 配置 也 可 以 很 高 ， 可 以 配置 多 个 处 理 咒 、 多 条 内 存 和 多 块 硬盘 ， 还 可 以 配置 多 个 元 余 电 
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源 和 散热 风扇 ， 支 持 见 余 扩 展 ， 所 以 它 的 应 用 范围 非常 广 ， 应 该 说 目前 使 用 率 最 高 的 一 种 服 
务 胡 束 是 塔 式 服务 作 ， 如 图 3-8 所 示 。 





图 3-8 ”IBM 塔 式 服务 器 


因为 塔 式 服务 器 机 箱 大 ， 一 人 台 服 务 絮 的 扩展 升级 也 会 有 个 限度 ， 而 且 塔 式 服务 右 需 要 占 
用 很 大 的 空间 ， 不 利于 服务 器 的 托管 ， 所 以 在 需要 服务 器 密集 型 部 署 ， 实 现 多 机 协作 的 领 
域 ， 塔 式 服务 局 并 不 占 优 势 。 特 别 是 服务 器 部 署 较为 密集 的 数据 中 心 ， 塔 式 服务 需 需 要 占用 
更 多 的 空间 ， 并 且 不 利于 摆 放 ， 因 此 使 用 并 不 多 。 

2. 机 架 式 服务 器 

机 架 式 服务 器 指 的 是 可 以 直接 安装 在 机 架 上 的 服务 右 。 机 架 式 服务 需 在 外 形 上 完全 不 像 
PC， 它 最 大 的 特点 是 比较 “ 薄 ”， 相 比 塔 式 服务 器 可 以 节省 很 大 的 空间 ， 并 且 随 着 技术 的 不 
断 发 展 ， 机 架 式 服务 器 有 着 不 逊色 于 塔 式 服务 带 的 性 能 。 机 架 式 服务 絮 是 一 种 平衡 了 性 能 和 
空间 占用 的 解决 方案 ， 如 图 3-9 所 示 。 











图 3-9 1U、2U、4U 机 架 式 服务 器 


一 般 来 说 ,不 是 每 一 个 企业 都 有 建设 数据 中 心机 房 的 条 件 ， 而 服务 器 的 运行 需要 有 
UPS、 精 密 空 调 等 环境 ， 大 部 分 企业 都 选择 了 服务 雷 托 管 的 方式 。 因 此 ， 选 择 服务 需 时 必须 
要 考虑 服务 吉 的 体积 、 功 耗 、 发 热量 等 物理 参数 ， 特 别 是 在 需要 部 署 很 多 台 服 务 噩 时， 更 是 
不 得 不 考虑 塔 式 服务 此 空间 占用 过 大 的 局 限 性 。 

机 架 式 服务 器 可 以 统一 的 安装 在 按照 国际 标准 设计 的 机 柜 中 ， 机 柜 的 宽度 为 19in (lin 
=0. 0254m) ， 机 柜 的 高 度 以 1 为 单位 ，1U 是 一 个 基本 高 度 单元 ，1U =1.75in, 约 44. Smm 
高 。 机 柜 的 高 度 有 多 种 规格 ， 如 10U、24U、32U、37U、42U 等 ， 一 般 服 务 器 标准 机 柜 为 
42U 机 柜 ， 尺 寸 为 600mm 〈 宽 ) x800mm ( 深 ) x1990mm《〈 高 )， 根 据 需 求 还 可 以 定制 。 
通过 机 柜 安装 服务 右 可 以 使 管理 、 布 线 更 为 方便 整洁 ， 也 可 以 方便 和 其 他 网 络 设备 的 连接 。 
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由 于 机 箱 空间 有 限 ， 机 架 式 服务 器 也 能 像 塔 式 服务 器 那样 配置 非常 均衡 ， 可 以 集 多 种 应 
用 于 一 身 ， 所 以 机 架 式 服务 器 还 是 比较 适用 于 一 些 针 对 性 比较 强 的 应 用 ， 如 需要 密集 型 部 署 
的 服务 运营 商 、 和 群集 计算 等 。 

3. 刀片 服务 器 

刀片 式 结构 是 一 种 比 机 架 式 更 为 紧凑 整合 的 服务 器 结构 。 它 是 专门 为 特殊 行业 和 高 密度 
计算 环境 设计 的 。 刀 片 服务 器 在 外 形 上 比 机 架 式 服务 器 更 小 ， 只 有 机 架 式 服 务 器 的 1/3 ~ 
1Z2 ,这样 就 可 以 使 服务 器 密度 更 加 集中 ， 更 大 的 节省 了 空间 。 每 个 刀片 就 是 一 台独 立 的 服务 
器 ， 具 有 独立 的 CPU、 内存、LO 总 线 ， 通 过 外 置 磁盘 可 以 独立 的 安装 操作 系统 ， 可 以 提供 
不 同 的 网 络 服务 ， 相 互 之 间 并 不 影响 。 刀 片 服务 器 也 可 以 像 机 架 服务 器 那样 ， 安 装 到 刀片 服 
务 右 机 柜 中 ， 形 成 一 个 刀片 服务 器 系统 ， 可 以 实现 更 为 密集 的 计算 部 署 。 多 个 刀片 服务 器 可 
以 通过 刀片 架 进行 连接 ， 通 过 系统 软件 ， 可 以 组 成 一 个 服务 器 集群 ， 可 以 提供 高 速 的 网 络 服 
务 ， 实 现 资源 共享 ， 为 特定 的 用 户 群 服务 。 如 果 需 要 升级 ， 可 以 在 集群 中 插入 新 的 刀片 ， 刀 
片 可 以 进行 热 插 拔 ， 升 级 非常 方便 。 图 3-10 展示 了 IBM 公司 和 HP 公司 推出 的 刀片 服务 
器 。 











IBM BladeCenter H 刀片 服务 器 HP ProLiant 刀片 服务 器 
图 3-10 刀片 服务 器 


每 个 刀片 服务 器 不 需要 单独 的 电源 等 部 件 ， 可 以 共享 服务 需 资 源 ， 这 样 可 以 有 效 降 低 功 
耗 ， 并 节省 成 本 。 刀 片 服务 融 不 需要 对 每 个 服务 器 单独 进行 布线 ， 可 以 通过 机 柜 统 一 进行 布 
线 和 集中 管理 ， 这 样 为 连接 管理 提供 了 非常 大 的 方便 ， 可 以 有 效 节省 企业 总 体 拥有 成 本 。 了 妇 
片 服务 噩 在 空间 节省 、 集 群 计算 、 扩 展 升 级 、 集 中 管理 、 总 体 成 本 方面 相对 于 必 外 两 种 结 术 
的 服务 占有 具 有 很 大 优势 。 


3.3.2 按 应 用 层次 分 类 


按 应 用 层次 划分 也 是 常用 的 划分 服务 器 类 别 的 方法 ， 即 根据 整个 服务 右 的 综合 性 能 ， 特 
别 是 所 采用 的 一 些 服 务 器 专用 技术 来 衡量 和 划分 。 按 这 种 划分 方法 ， 服 务 右 可 分 为 : 入 门 级 
服务 器 、 工 作 组 级 服务 右 、 部 门 级 服务 器 、 企 业 级 服务 器 。 

1. 入 门 级 服务 器 

入 门 级 服务 咒 是 指 最 低档 的 服务 器 ， 硬 件 配 置 较 低 ， 价 格 低廉 ， 但 也 具有 服务 器 的 一 般 
特性 。 入 门 级 服务 器 类 似 于 高 档 PC， 经 常见 到 的 入 门 级 服务 右 就 是 一 般 的 PC 服务 器 。 人 入门 
级 服务 噩 通常 配置 一 颗 或 两 颗 CPU， 并 根据 需要 配置 相应 的 内 存 (如 256MB、512MB、1GB 
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或 2GB 不 等 ) 和 大 容量 IDE 或 SATA 硬盘 ， 如 图 3-11 列举 了 两 款 性 价 比较 高 的 入 门 级 服务 
器 产品 。 

入 门 级 服务 器 主要 应 用 于 比较 简单 的 应 用 ， 如 安装 Linux Windows 2003 Server 操作 系 
统 ， 提 供 面向 中 小 型 网 络 用 户 的 文件 共享 、 打 印 服务 、 数 据 处 理 、Internet 接 入 及 简单 数据 
库 应 用 的 需求 ， 也 可 以 安装 一 些 简 单 的 网 络 应 用 软件 。 











IBM System x3100 M3 联想 万 全 T100 G10 
服务 器 类 型 : 塔 式 服务 器 服务 器 类 型 : 塔 式 
服务 器 级 别 : 入 门 级 服务 器 级 别 : 入 门 级 
CPU 类 型 : Intel Xeon X3450 CPU 类 型 : Intel 奔腾 E5500 
标 称 主 频 : 2.66GHz 标 称 主 频 : 2.8GHz 

内 存 容量 : 2GB(1x2GB) 内 存 容 量 : 1GB 

标 配 硬盘 容量 : 500GB 标 配 硬盘 容量 : 500GB 

标 配 硬盘 类 型 : SATA 标 配 硬盘 类 型 : SATA 


图 3-11 入门 级 服务 天 


2. 工作 组 级 服务 器 

工作 组 (WorkGroup) 级 服务 需 是 一 个 比 和 人 门 级 服务 器 硬件 配置 稍微 高 一 些 的 服务 顺 ， 
但 仍 属于 低档 服务 器 。 随 着 服务 器 硬件 技术 的 发 展 ， 入 门 级 服务 顺和 工作 组 级 服务 咒 的 性 能 
差别 逐渐 变 小 。 工 作 组 级 服务 器 一 般 文 持 一 颗 或 两 颗 CPU， 可 支持 大 容量 的 ECC (一 种 内 
存 技术 ， 多 用 于 服务 器 内 存 ) 内 存 ， 采 用 SCSI (一 种 总 线 接口 技术 ) 总 线 的 IO (输入 / 输 
出 ) 系统 ，SMP 对 称 多 处 理 需 结构 、 可 选 装 RAID 、 热 插 拔 硬盘 、 热 搬 拔 电源 等 ， 具 备 了 小 
型 服务 局 所 必 备 的 各 种 特性 。 

工作 组 级 服务 器 一 般 只 能 连接 规模 在 50 台 左 右 的 客户 端 PC 构成 的 网 络 。 适 合 于 较 小 
网 络 规模 的 组 网 ， 服 务 器 的 性 能 要 求 也 不 高 ， 如 作为 中 小 企业 Web 、Mail 的 也 能 
用 于 中 小 学 构建 数字 校园 网 、 多 媒体 教室 等 。 

3. 部 门 级 服务 器 

部 门 级 的 应 用 对 服务 器 产品 在 计算 效率 、 存 储 容量 、LO 数据 吞吐 、 散 热 稳 定性 等 方面 
有 着 严格 的 要 求 。 部 门 级 服务 噩 是 指 一 般 中 档 服 务 右 ， 一 般 都 是 支持 双 CPU 以 上 的 对 称 处 
理 需 结构 ， 具 备 比较 完全 的 硬件 配置 ， 如 磁盘 阵列 、 存 储 托 架 等 ， 并 且 集成 了 大 量 的 监测 及 
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管理 电路 ， 具 有 全 面 的 服务 器 管理 能 力 ， 可 监测 如 温度 、 电 压 、 风 扇 、 机 箱 等 状态 参数 ， 在 
性 能 、 内 存 、 超 大 存储 空间 和 IO 吞吐 能 力 等 方面 具有 较 高 性 价 比 。 此 外 ， 结 合 服务 需 管 理 
软件 ， 可 以 使 管理 人 员 及 时 了 解 服务 器 的 工作 状况 。 同 时 ， 大 多 数 部 门 级 服务 器 具有 优良 的 
系统 扩展 性 ， 能 够 满足 用 户 在 业务 量 迅速 增 大 时 能 够 及 时 在 线 升级 系统 ， 充 分 保护 了 用 户 的 
投资 。 

部 门 级 服务 右 主 要 适合 百 台 或 更 多 客户 机 的 网 络 环境 ,为 了 满足 企业 对 数据 和 实时 性 的 
要 求 ， 部 门 级 服务 右 主 要 用 于 一 些 对 应 用 要 求 较 高 配置 、 数 据 存 储 和 处 理 稳定 性 要 求 较 高 的 
行业 用 户 和 服务 提供 商 。 如 图 3-12 所 示 ， 列 举 了 两 款 部 门 级 服务 器 。 

















加 
IBM System X3850 M2 曙光 天 阔 1620r-G 

服务 器 类 型 : 机 架 式 服务 器 类 型 : 机 架 式 
服务 器 级 别 : 部 门 级 服务 器 级 别 : 部 门 级 

CPU 类 型 : Intel Xeon E7420 (四 核 ) CPU 类 型 : Intel Xeon E5506 (四 核 ) 
标 称 主 频 : 2.13GHz 标 称 主 频 : 2.13GHz 

内 存 容量 : 4GB(4X 1GB) 内 存 容量 : 2GB 

标 配 硬盘 容量 : 146GB 标 配 硬盘 容量 : 146GB 

标 配 硬盘 类 型 : SAS 标 配 硬盘 类 型 : SAS 

电源 类 型 : 热 播 拔 宛 余 电源 电源 类 型 : 单 电源 

存储 扩展 位 : 4X 托 架 存储 扩展 位 :8X 托 架 


图 3-12 ”部门 级 服务 器 


4. 企业 级 服务 器 

企业 级 服务 器 属于 高 档 服务 器 ， 最 显著 的 特点 是 企业 级 服务 器 普 志 可 文 持 4 ~8 个 处 理 
器 其 至 更 多 。 企 业 级 服务 器 在 硬件 设计 和 配置 上 有 更 为 独特 的 地 方 ， 一般 拥 有 独立 的 双 PCI 
通道 和 内 存 扩 展板 设计 ， 具 有 高 内 存 人 带宽、 大 容量 热 插 拔 硬盘 和 热 插 拔 电源 ; 具有 超 强 的 数 
据 处 理 能 力 、 高 度 的 容错 能 力 、 优 异 的 扩展 性 能 、 系 统 性 能 和 群集 性 能 ; 能 满足 极 长 时 间 的 
系统 连续 运行 ， 能 在 很 大 程度 上 保护 用 户 的 投资 。 

企业 级 服务 器 的 硬件 配置 最 高 ， 系 统 可 靠 性 也 最 强 。 企 业 级 服务 器 用 于 联网 计算 机 在 数 
百 台 甚至 千 台 以 上 、 对 处 理 速度 和 数据 安全 要 求 非常 高 的 大 型 网 络 ， 所 采用 的 操作 系统 一 般 
也 是 Unix (Solaris) 或 Linux。 

目前 ， 企 业 级 服务 器 主要 适用 于 需要 处 理 大 量 数据 、 高 处 理 速度 和 对 可 靠 性 要 求 极 高 的 
大 型 企业 和 重要 行业 〈 如 金融、 证券 、 交 通 、 邮 电 、 通 信 等 行业 ) 。 图 3-13 给 出 了 两 款 企业 
级 服务 器 的 产品 。 
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惠普 ProLiant DL580 G7 曙光 天 阔 A950r- 下 

服务 器 类 型 : 机 架 式 服务 器 类 型 : 机 架 式 

服务 器 级 别 : 企业 级 服务 器 级 别 : 企业 级 

CPU 类 型 : Intel Xeon X7560 ( 八 核 ) CPU 类 型 : AMD Operton 8350 (四 核 ) 
CPU 数量 : 4 颗 CPU 数量 : 8 颗 

标 称 主 频 : 2.266GHz 标 称 主 频 : 2GHz 

内 存 容量 : 32GB(8X4GB)，64 个 插座 ， 最 高 1TB 内 存 容量 : 16GB(8X2GB)， 可 扩展 至 256GB 
标 配 硬盘 类 型 : SAS 标 配 硬盘 容量 : 146GB 

电源 数量 : 4 个 电源 数量 : 1 个 

电源 类 型 : 热 插 拔 匈 余 电源 电源 类 型 : 大 功率 匈 余 电源 

散热 系统 : 4 个 热 插 拔 3+1 元 余 系 统 风 散热 系统 : 曙光 灵动 散热 系统 

存储 扩展 位 : 标 配 8XSFF 托 架 存储 扩展 位 : 共有 8 个 热 播 拔 硬盘 位 
网 络 控制 器 : 4X 千 兆 接口 网 络 控制 器 : 3X 千 兆 接 口 


图 3-13 ”企业 级 服务 骨 
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3.3.3 ” 按 服务 器 的 处 理 器 类 型 分 类 


1. RISC 服务 器 

RISC 服务 器 即 非 x86 服务 器 ， 包 括 大 型 机 、 小 型 机 和 Unix 服务 器 。RISC 服务 器 使 用 
RISC (精简 指令 集 ) 或 EPIC 〈 并 行 指令 代码 ) 处 理 器 ， 并 且 主 要 采用 Unix 或 其 他 专用 操 
作 系 统 的 服务 器 。 精 简 指 令 集 处 理 器 主要 有 BM 公司 的 POWER 和 PowerPC 处 理 器 ，SUN 与 
富士 通 公 司 合作 研发 的 SPARC 处 理 咒 。EPIC 处 理 器 主要 是 HP 与 Intel 合作 研发 的 安 腾 处 理 
器 等 。 这 种 服务 器 价格 昂贵 ， 体 系 封 财 ， 但 是 稳定 性 好 ， 性 能 强 ， 主 要 用 在 金融 、 电 信 等 大 
型 企业 的 核心 系统 中 。 

在 服务 器 产品 中 ，RISC 服务 句 主 要 由 几 个 知名 的 计算 机 公司 如 SUN、IBM、HP 等 的 
RISC UNIX 结构 的 产品 所 控制 ， 它 们 的 服务 器 一 般 采 用 Unix、Solaris、AIX 等 ， 被 广泛 用 于 
数据 库 服务 器 、Internet 服务 器 等 各 种 服务 器 。 这 些 服务 器 CPU 如 下 : 

1) SUN 公司 : SUN 公司 的 处 理 器 为 UltraSPARC ， 以 此 处 理 器 形成 了 品种 齐全 的 服务 器 
产品 ， 包 括 SPARCserver 系列 、SPARCcenter 系列 、SPARCcluster 系列 、Netra Internet 系列 、 
New Sun Fire 、Sun Enterprise 和 等。 操作 系统 为 Solaris。 

2) IBM 公司 : IBM 公司 的 处 理 器 为 PowerPC， 以 此 处 理 需 形成 了 品种 齐全 的 服务 器 产 
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品 ， 如 RSZ6000 系列 ， 操 作 系 统 为 AIX。 

3) HP 公司: HP 公司 的 RISC 处 理 器 为 HP-PA， 操 作 系 统 为 HP UNIX， 以 及 收购 Com- 
pad 公司 后 拥有 的 RISC 处 理 器 Alpha， 操 作 系 统 为 Digital UNIX 和 Windows NT。 

2. CISC 服务 器 

CISC (复杂 指令 集 ) 服务 器 ， 即 x86 服务 器 ， 它 是 基于 PC 体系 结构 ， 使 用 Intel 或 其 他 
兼容 x86 指令 集 的 处 理 器 芯片 和 Windows 操作 系统 的 服务 器 ， 如 IBM 的 System x 系列 服务 
器 、HP 的 Proliant 系列 服务 器 等 。 相 对 RISC 服务 器 ， 价 格 便宜 、 兼 容 性 好 、 稳 定性 和 安全 
性 差 ， 主 要 用 在 中 小 企业 和 非 关 键 业 务 中 ， 例 如 中 小 型 局 域 网 的 文件 或 数据 库 服务 器 。 


3.3.4 按 服 务 器 的 用 途 分 类 


服务 右 一 般 都 是 通用 的 ， 这 类 服务 器 可 以 全 面 提供 各 种 基本 服务 功能 。 当 前 大 多 数 服 务 
器 是 通用 型 服务 器 。 因 为 这 类 服务 器 不 是 专 为 某 一 功能 而 设计 ， 在 设计 时 兼顾 多 方面 的 应 用 
需求 。 但 是 针对 一 些 特殊 的 应 用 需求 ， 市 场 上 出 现 了 一 些 为 了 满足 各 种 特定 功能 而 开发 、 生 
产 的 功能 型 服务 器 。 如 果 按 照 这 种 划分 标准 ， 可 以 分 为 通用 型 服务 器 和 专用 型 服务 器 。 所 谓 
专用 型 服务 器 ， 就 是 专门 为 某 一 种 或 某 几 种 功能 专门 设计 的 服务 器 。 

1. 面向 计算 类 的 服务 器 

这 类 服务 器 面向 科学 计算 、 数 学 模型 分 析 等 ， 要 求 具 有 很 高 的 CPU 计算 能 力 。 这 类 服 
务 器 一 般 采 用 多 CPU 技术 ， 支 持 对 称 多 处 理 与 非 对 称 多 处 理 技术 ; 对 内 存 容 量 要 求 很 高 ; 
需要 较 高 的 高 速 缓冲 技术 ; 具有 强大 的 浮 点 运算 能 

这 类 服务 器 ， 一 般 采 用 大 型 机 〈 巨 型 机 ) 或 高 档 工 作 站 。 典 型 应 用 如 气象 部 门 天 气 预 
报 的 计算 、 大 型 的 统计 预测 等 。 

2. 面向 数据 库 的 服务 器 

这 类 服务 器 面向 数据 库 服务 ， 作 为 专门 安装 数据 库 管 理 系 统 (DBMS) 的 服务 器 ， 如 
SQL Server 、Oracle 、DB2 。 这 类 服务 需 一 般 要 求 有 较 好 的 并 行 处 理 能 力 ; 高 速 的 IO 吞吐 
量 ， 具 体 体 现在 磁盘 (硬盘 ) 的 读 写 速率 和 高 速 的 网 络 适 配器 上 ; 具有 较 大 的 磁盘 容量 ， 
可 以 配置 磁盘 阵列 ; 配置 数据 备份 设备 ， 如 磁带 机 ， 配 置 备 份 策略 ;如果 是 分 布 数据 库 计 算 
模式 ， 要 求 有 较 高 的 网 络 带 宽 。 

这 类 服务 器 ， 一 般 采 用 专用 服务 器 设备 ， 企 业 或 部 门 级 服务 器 ， 也 可 采用 高 档 工 作 站 。 
典型 应 用 如 银行 中 心 数 据 库 服务 器 、 电 信 计 费 服务 器 、 企 业 信 息 系 统 数 据 库 服 务 器 或 数据 仓 
库 服务 器 。 

3. 面向 应 用 系统 的 服务 器 

这 类 服务 器 是 企业 使 用 的 应 用 系统 服务 器 ， 一 般 运行 着 各 种 企业 应 用 系统 ， 属 于 客户 机 
/服务 器 ( Client/Server) 或 浏览 器 /服务 器 ( Browser/Server) 的 网 络 应 用 。 这 类 服务 器 一 般 
要 求 有 较 好 的 并 行 与 异步 处 理 能 力 、 较 高 的 网 络 带宽 、 高 速 的 VO 吞吐 量 、 较 高 的 稳定 性 。 

4. 面向 通信 和 与 网 络 系统 的 服务 器 

这 类 服务 器 面向 通信 和 网 络 服务 ， 这 类 服务 器 一 般 具 有 实时 性 要 求 ， 具 有 处 理 延 时 较 
短 、 较 高 的 并 行 与 异步 处 理 能 力 ; 具有 高 速 的 0 吞吐 量 ; 具有 较 大 的 磁盘 容量 ， 可 以 配置 
磁盘 阵列 ; 配置 数据 备份 设备 ， 如 磁带 机 ， 配 置 备份 策略 ; 具有 较 高 的 安全 性 和 较 高 的 网 络 
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一 般 这 类 服务 器 采用 专用 服务 融 设 备 ， 或 采用 高 档 工 作 站 。 典 型 应 用 如 Web 服务 右 、 
大 型 电子 邮件 服务 需 。 
5. 面向 多 媒体 与 视 像 会 议 的 服务 器 
这 类 服务 需 面 向 多 媒体 通信 或 多 媒体 网 络 服务 。 这 类 服务 器 一 般 具 有 大 容量 磁盘 存储 
， 可 以 配置 磁盘 阵列 ; 具有 较 高 的 视 像 实 时 性 要 求 ， 处 理 延 时 短 ; 具有 高 速 的 10 厨 吐 
量 ， 上 具体 体现 在 磁盘 〈 硬 盘 ) 的 读 写 速率 和 高 速 的 网 络 适 配 噩 上 。 

一 般 这 类 服务 器 采用 专用 服务 器 设备 ， 或 采用 高 档 工 作 站 。 典 型 应 用 如 视 像 会 议 系统 、 
VOD 系统 等 。 

6. 面向 可 视 化 与 虚拟 现实 应 用 的 服务 器 

这 类 服务 需 面 向 多 媒体 ， 特 别 是 图 像 处理 业 务 。 这 类 服务 器 一 般 具 有 高 档 CPU 或 多 
CPU 技术 ， 支 持 对 称 多 处 理 与 非 对 称 多 处 理 技术 ， 对 内 存 容量 要 求 很 高 ;需要 较 高 的 高 速 
缓冲 技术 ; 具有 强大 的 浮 点 运算 能 力 和 较 高 的 并 行 处 理 能 力 ; 具有 高 级 图 形 处 理 能 力 的 显示 
适 配 带 ; 具有 高 分 辨 率 的 显示 右 。 

一 般 这 类 服务 器 采用 专用 工作 站 来 实现 。 典 型 应 用 如 图 像 处理 系 统 。 


3.4 服务 器 系统 的 主要 技术 
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3.4.1 服务 器 的 基本 技术 


1. 热 插 拨 技 术 

热 插 拔 ( Hot-Plugging 或 Hot Swap) 即 带电 插 拔 ， 是 指 允 许 用 户 在 不 关闭 系统 停止 服务 
和 不 切断 电源 的 情况 下 更 换 或 添加 服务 硕 部 件 ， 如 取出 和 更 换 损坏 的 硬盘 、 电 源 或 可 扩展 板 
卡 等 部 件 ， 从 而 提高 了 系统 对 灾难 的 及 时 恢复 能 力 、 扩 展 性 和 灵活 性 等 。 

热 插 拔 技术 文 持 服务 器 的 可 靠 性 ， 服 务 器 系统 主要 出 现 故障 的 配件 不 再 仪 是 硬盘 ， 有 可 
能 是 内 存 、 电 源 和 风扇 等 ; 有 的 甚至 文 持 CPU 和 服务 器 本 吴 热 插 拔 ， 特 别 在 高 端 多 路 处 理 
器 服务 器 系统 和 群集 服务 器 系统 中 。 现 在 ， 热 插 拔 技术 在 确保 服务 器 系统 可 用 性 方面 已 显得 
越 来 越 重 要 了 ,已 成 为 服务 升 的 标准 技术 。 尽 管 不 同 档次 的 服务 硕 所 文 持 的 热 插 拔 配件 并 不 
完全 一 样 ， 但 对 于 像 硬盘 、 电 源 和 风扇 的 热 插 拔 技术 文 持 已 成 为 最 基本 的 服务 器 技术 配置 。 

2. RAID 技术 

RAID (Redundant Array of Independent Disk ， 独 立 宛 余 磁 盘 阵 列 ) 技术 是 应 用 最 广 的 服 
务 器 技术 之 一 。RAID 就 是 将 N 台 人 硬盘 通过 RAID 控制 器 〈 分 硬件 和 软件 ) 结合 成 虚拟 单 台 
大 容量 的 硬盘 使 用 。 通 过 把 多 块 独立 的 硬盘 〈 物 理 硬盘 ) 按 不 同 的 方式 组 合 起 来 形成 一 个 
硬盘 组 (逻辑 硬盘 ) ， 从 而 提供 比 单个 硬盘 更 高 的 存储 性 能 和 提供 数据 备份 技术 。 组 成 磁盘 
阵列 的 不 同方 式 称 为 RAID 级 别 ，RAID 技术 主要 包含 RAID 0 ~ RAID 7 等 数 个 级 别 ， 它 们 的 
侧重 点 各 不 相同 ， 每 个 级 别 都 有 各 自 的 优 缺 点 。 目 前 应 用 较 多 的 有 RAIDO、RAID1 、RAID0O 
+1 和 RAIDS。 

(1) RAID 0 

RAID 0 连续 以 位 或 字 节 为 单位 分 割 数 据 ， 并 行 读 / 写 于 多 个 磁盘 上 ， 因 此 具有 很 高 的 数 
据 传 输 率 ， 但 它 没有 数据 元 余 ， 因 此 并 不 能 算是 真正 的 RAID 结构 。RAID 0 只 是 单纯 地 提 
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高 性 能 ， 并 没有 为 数据 的 可 靠 性 提供 保证 ， 而 且 其 中 的 一 个 磁盘 失效 将 影响 到 所 有 数据 。 因 
此 ，RAID 0 不 能 应 用 于 数据 安全 性 要 求 高 的 场合 。 

(2) RAID 1 

它 是 通过 磁盘 数据 镜像 实现 数据 元 余 ， 在 成 对 的 独立 磁盘 上 产生 互 为 备份 的 数据 。 当 原 
台数 据 繁忙 时 ， 可 直接 从 镜像 复制 中 读 取 数据 ， 因 此 RAID 1 可 以 提高 读 取 性 能 。RAID 1 是 
磁盘 阵列 中 单位 成 本 最 高 的 ， 但 提供 了 很 高 的 数据 安全 性 和 可 用 性 。 当 一 个 磁盘 失效 时 ， 系 
统 可 以 自动 切换 到 镜像 磁盘 上 读 写 ， 而 不 需要 重组 失效 的 数据 。 

(3) RAID 0+1 

也 被 称 为 RAID 10 标准 ， 实 际 是 将 RAID 0 和 RAID 1 标准 结合 的 产物 ， 在 连续 地 以 位 
或 字 节 为 单位 分 割 数据 并 且 并 行 读 / 写 多 个 磁盘 的 同时 ， 为 每 一 块 磁盘 作 人 磁盘 镜 像 进行 元 余 。 
它 的 优点 是 同时 拥有 RAID 0 的 超凡 速度 和 RAID 1 的 数据 高 可 靠 性 ， 但 是 CPU 占用 率 同 样 
也 更 高 ， 而 且 磁 盘 的 利用 率 比较 低 。 

(4) RAID 2 

将 数据 条 块 化 地 分 布 于 不 同 的 硬盘 上 ， 条 块 单位 为 位 或 字 节 ， 并 使 用 称 为 “加 重 平 均 
纠 错 码 〈 海 明码 ) ”的 编码 技术 来 提供 错误 检查 及 恢复 。 这 种 编码 技术 需要 多 个 磁盘 存放 检 
查 及 恢复 信息 ， 使 得 RAID 2 技术 实施 更 复杂 ， 因 此 在 商业 环境 中 很 少 使 用 。 

(5) RAID 3 

它 同 RAID 2 非常 类 似 ， 都 是 将 数据 条 块 化 分 布 于 不 同 的 硬盘 上 ， 区 别 在 于 RAID 3 使 
用 简单 的 奇偶 校 验 ， 并 用 单 块 磁盘 存放 奇偶 校 验 信息 。 如 果 一 块 磁盘 失效 ， 奇 偶 盘 及 其 他 数 
据 盘 可 以 重新 产生 数据 ; 如果 奇偶 盘 失 效 则 不 影响 数据 使 用 。RAID 3 对 于 大 量 的 连续 数据 
可 提供 很 好 的 传输 率 ， 但 对 于 随机 数据 来 说 ， 奇 偶 盘 会 成 为 写 操作 的 瓶颈 。 

(6) RAID 4 

RAID 4 同样 也 将 数据 条 块 化 并 分 布 于 不 同 的 磁盘 上 ， 但 条 块 单位 为 块 或 记录 。RAID 4 
使 用 一 块 磁 盘 作 为 奇偶 校 验 盘 ， 每 次 写 操 作 都 需要 访问 奇偶 盘 ， 这 时 奇偶 校 验 盘 会 成 为 写 操 
作 的 瓶 诺 ， 因 此 RAID 4 在 商业 环境 中 也 很 少 使 用 。 

(7) RAID 5 

RAID 5 不 单独 指定 奇偶 盘 ， 而 是 在 所 有 磁盘 上 交叉 地 存 取 数 据 及 奇偶 校 验 信息 。 在 
RAID 5 上 ， 读 / 写 指 针 可 同时 对 阵列 设备 进行 操作 ， 提 供 了 更 高 的 数据 流量 。RAID 5 更 适 
合 于 小 数据 块 和 随机 读 写 的 数据 。RAID 3 与 RAID 5 相 比 ， 最 主要 的 区 别 在 于 RAID 3 每 进 
行 一 次 数据 传输 就 需 涉 及 所 有 的 阵列 盘 ; 而 对 于 RAID 5 来 说 ， 大 部 分 数据 传输 只 对 一 块 磁 
盘 操 作 ， 并 可 进行 并 行 操 作 。 在 RAID 5 中 有 “ 写 损失 ”， 即 每 一 次 写 操作 将 产生 4 个 实际 
的 读 / 写 操作 ， 其 中 两 次 读 旧 的 数据 及 奇偶 信息 ， 两 次 写 新 的 数据 及 奇偶 信息 。RAID 4 在 商 
业 环境 中 使 用 较 广 。 

(8) RAID 6 

与 RAID 5 相 比 ，RAID 6 增加 了 第 二 个 独立 的 奇偶 校 验 信息 块 。 两 个 独立 的 奇偶 系统 使 
用 不 同 的 算法 ， 数 据 的 可 靠 性 非常 高 ， 即 使 两 块 磁盘 同时 失效 也 不 会 影响 数据 的 使 用 。 但 
RAID 6 需要 分 配给 奇偶 校 验 信 息 更 大 的 磁盘 空间 ， 相 对 于 RAID 5 有 更 大 的 “ 写 损失 ”， 因 
此 “ 写 性 能 ”非常 差 。 较 差 的 性 能 和 复杂 的 实施 方式 使 得 RAID 6 很 少 得 到 实际 应 用 。 

(9) RAID 7 
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这 是 一 种 新 的 RAID 标准 ， 其 自身 带 有 智能 化 实时 操作 系统 和 用 于 存储 管理 的 软件 工 
具 ， 可 完全 独立 于 主机 运行 ， 不 占用 主机 CPU 资源 。RAID 7 可 以 看 作 是 一 种 存储 计算 机 
(Storage Computer) ， 它 与 其 他 RAID 标准 有 明显 区 别 。 

在 实际 应 用 中 ， 可 以 如 RAID 0 +1 那样 结合 多 种 RAID 规范 来 构建 所 需 的 RAID 阵列 ， 
例如 RAID 5+3 (RAID 53) 就 是 一 种 应 用 较为 广泛 的 阵列 形式 。 用 户 一 般 可 以 通过 灵活 配 
置 磁 盘 阵 列 来 获得 更 加 符合 其 要 求 的 磁盘 存储 系统 。 

3. 对 称 多 处 理 器 技术 

对 称 多 处 理 器 (Symmetrical Multi-Processing，SMP) 技术 是 指 在 一 个 服务 器 上 汇集 了 一 
组 处 理 器 ， 即 多 个 CPU， 各 CPU 之 间 共 享 内 存 子 系统 以 及 总 线 结构 。 它 是 相对 非 对称 多 处 
理 技 术 而 言 的 一 种 并 行 技术 ， 被 广泛 应 用 在 中 、 高 档 服务 器 上 。 

在 SMP 架构 中 ， 一 台 服 务 器 不 再 由 单个 CPU 组 成 ， 而 是 同时 由 多 个 处 理 器 运行 操作 系 
统 的 单一 复 本 ， 并 共享 内 存 和 一 台 服 务 器 的 其 他 资源 。 虽 然 同 时 使 用 多 个 CPU， 但 是 从 管 
理 的 角度 来 看 ， 它 们 的 表现 就 像 一 台 服 务 器 一 样 。 系 统 将 任务 队列 对 称 地 分 布 于 多 个 CPU 
之 上 ， 从 而 极 大 地 提高 了 整个 系统 的 数据 处 理 能 力 。 所 有 的 处 理 需 都 可 以 平等 地 访问 内 存 、 
IO 和 外 部 中 断 。 在 SMP 系统 中 ， 系 统 资源 被 系统 中 所 有 CPU 共享 ， 工 作 负 载 能 够 均匀 地 
分 配 到 所 有 可 用 处 理 右 上。 


3.4.2 服务 器 的 群集 与 容错 技术 


1. 群集 技术 

服务 紫 群 集 技术 是 把 多 个 物理 服务 右 通 过 输入 /输出 系统 互联 在 一 起 ， 这 些 服务 带 连 接 
到 存储 介质 中 ， 形 成 一 个 整体 ， 分 布 式 地 工作 ， 并且 由 分 布 资源 管理 软件 进行 管理 ， 因 而 可 
以 更 好 地 利用 设备 资源 的 一 项 新 兴 技 术 ， 近 年 来 得 到 了 广泛 的 应 用 。 和 群集 技术 可 以 提高 特定 
应 用 程序 或 者 服务 的 可 用 性 ， 也 可 以 提高 应 用 程序 的 性 能 ， 为 特定 的 应 用 程序 或 者 问题 提供 
强大 的 处 理 能 力 。 一 旦 在 服务 器 上 安装 并 运行 了 群集 服务 ， 该 服务 硕 即 可 加 入 群集 。 和 群集 化 
操作 可 以 减少 单 点 故障 数量 ， 并 且 实 现 了 群集 化 资源 的 高 可 用 性 。 

服务 顺 群 集 技术 最 主要 的 应 用 即 在 于 网 络 负载 的 平衡 。 网 络 负载 平衡 使 用 两 台 或 更 多 人 台 
一 起 工作 的 主机 计算 机 组 成 的 群集 ， 为 服务 器 提供 了 高 可 用 性 和 高 伸缩 性 。Internet 客户 端 
使 用 一 个 IP 地 址 或 一 组 地 址 访问 群集 。 客 户 端 无 法 区 别 群集 和 单一 服务 器 。 服 务 句 应 用 程 
序 并 不 表明 它们 是 在 群集 上 运行 的 。 但 是 ， 网 络 负载 平衡 群集 与 运行 单个 服务 器 应 用 程序 的 
单个 主机 有 很 大 的 区 别 ， 因 为 即使 在 某 个 群集 主机 发 生 故 障 的 情况 下 ， 它 也 可 以 提供 不 间断 
服务 。 和 群集 对 客户 端 请 求 的 响应 也 比 单个 主机 快 。 

如 图 3-14 所 示 是 由 2 台 服 务 器 〈Serverl ，Serve2 ) 组 成 的 群集 方式 ， 其 中 每 台 服 务 顺 
的 地 位 是 平等 的 ， 都 可 以 为 客户 端 提供 服务 并 且 不 用 其 他 服务 器 的 辅助 。 图 中 Server3 是 服 
务 器 群集 虚拟 出 来 的 主机 ， 客 户 端 所 能 看 到 的 群集 只 是 一 台 Server3 主机 ， 并 不 需要 知道 其 
他 服务 器 的 存在 。 和 群集 中 的 主机 将 均衡 处 理 客 户 端 发 来 的 应 用 请 求 ， 以 此 来 实现 负载 均衡 ; 
如 果 某 一 台 服 务 器 出 现 宕 机 ， 客 户 端 发 来 的 应 用 请 求 将 被 分 配给 另外 一 台 服 务 器 ， 通 过 这 种 
方式 来 保障 业务 应 用 的 高 可 用 性 。 

常用 的 服务 器 操作 系统 如 Unix/Linux、Windows 2000 Server、Windows Server 2003/2008 
都 有 关于 服务 占 群 集 的 实用 工具 ， 用 来 支持 在 服务 右上 安装 群集 软件 或 创建 新 群集 。 
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图 3-14 ”服务 器 集群 


2. 容错 技术 

尽管 服务 器 的 硬件 性 能 越 来 越 高 ， 但 是 对 一 些 具有 特殊 应 用 的 行业 如 证 券 、 银 行 、 电 信 
等 需要 提供 永 不 间断 的 服务 ， 发 生 故 障 也 是 难免 的 。 世 界 上 各 大 服务 器 三 商都 试图 通过 一 种 
名 为 容错 的 技术 来 解决 这 种 问题 ， 以 提供 关键 服务 器 和 关键 应 用 的 高 可 用 性 、 安 全 性 、 稳 定 
性 、 高 管理 性 及 其 不 间断 运行 ， 以 便 能 够 很 好 地 满足 一 些 重 要 行业 的 应 用 需求 。 

容错 (Fault Tolerance) 是 指 系 统 发 生 错 误 但 能 容忍 错误 而 不 导致 服务 中 断 。 对 于 服务 
器 来 说 ， 容 错 是 指 服务 器 对 于 错误 的 容纳 能 力 ， 是 应 用 过 程 中 对 于 服务 器 稳定 性 的 一 个 更 高 
的 要 求 。 

当前 ， 服 务 器 容错 技术 主要 有 服务 器 群集 技术 、 双 机 热 备份 技术 和 单机 容错 技术 。 实 际 
上 上， 服务器 群集 和 双 机 热 备份 技术 比较 类 似 ， 双 机 热 备 份 可 以 看 作 是 最 简单 的 集群 ， 也 可 以 
把 服务 器 集群 技术 视 为 双 机 宛 余 的 延伸， 可 以 理解 为 一 种 多 机 容错 的 方案 。 采 用 集群 技术 ， 
通过 多 台 服 务 器 之 间 的 负载 均衡 ， 可 以 解决 服务 器 单 点 故障 所 引发 的 系统 不 稳定 ， 提 高 系统 
的 可 靠 性 ， 因 此 集群 具有 更 好 的 容错 能 力 。 双 机 热 备份 技术 也 是 一 种 软 人 硬件 结合 的 较 高 容错 
应 用 方案 。 

单机 容错 技术 是 在 一 台 服 务 器 上 实现 容错 能 力 ， 这 是 一 种 最 高 级 别 的 容错 技术 。 具 有 单 
机 容错 能 力 的 服务 器 被 称 为 容错 服务 器 ， 这 种 服务 器 也 是 各 大 厂家 追逐 研究 的 前 沿 性 产品 。 
单机 容错 技术 以 Stratus 公司 的 ftServer、 惠 普 公 司 的 NonStop 服务 右 和 NEC 公司 的 Fx- 
press5800/ft 为 代表 。 这 种 技术 具有 比 双 机 热 备 方案 更 高 的 容错 能 力 。 有 研究 报告 指出 ， 双 
机 热 备 方案 的 可 靠 性 可 以 达到 99. 9% ， 而 单机 容错 技术 的 可 靠 性 可 以 达到 99. 999% 甚至 更 


[BJ o 














73 


[站 大 型 园区 网 络 建设 与 管理 


3. 双 机 热 备 份 技术 

服务 需 的 故障 可 能 由 各 种 原因 引起 ， 如 设备 故障 、 操 作 系统 故障 、 软 件 系 统 故 障 等 。 对 
于 一 些 重要 系统 而 言 ， 如 果 发 生 服 务 噩 故障 而 造成 中 断 ， 会 造成 重大 的 经 济 损失 。 因 此 ， 在 
实际 应 用 中 对 于 一 些 重要 、 关 键 的 业务 系统 需要 通过 双 机 热 备 份 来 避免 可 能 因 发 生 故 障 而 导 
致 的 长 时 间 服 务 中 断 ， 保 证 系统 长 期 、 可 靠 的 运行 。 

双 机 热 备 份 技术 是 一 种 软 硬 件 结合 的 较 高 容错 应 用 方案 。 一 般 由 两 侣 服务 噩 系统 和 一 个 
外 接 共享 磁盘 阵列 柜 及 相应 的 双 机 热 备份 软件 组 成 ， 如 图 3-15 所 示 。 

在 该 方案 中 ， 将 操作 系统 和 应 用 程序 ©S 














安装 部 署 在 两 台 服 务 器 的 本 地 系统 盘 上 ， 
整个 网 络 系统 的 数据 是 通过 人 磁盘 阵列 集中 


管理 和 数据 备份 的 。 数 据 集中 管理 是 通过 
双 机 热 备 份 系统 ， 将 所 有 站 点 的 数据 直接 
从 中 央 存 储 设备 读 取 和 存储 ， 并 由 专业 人 二 





员 进 行 管理 ， 极 大 地 提高 了 数据 的 安全 性 A 
和 保密 性 。 用 户 的 数据 存放 在 外 接 共享 磁 | ， 
盘 阵 列 中 ,在 一 台 服 务 器 出 现 故障 时 ， 备 
机 主动 替代 主机 工作 ， 保 证 网 络 服务 不 间 SS 
断 。 EE 
双 机 热 备份 系统 采用 “心跳 ” 方法 保 图 3-15 双 机 热 备份 方案 


证 主 系统 与 备用 系统 的 联系 。 所 谓 “ 心 

跳 ” ， 指 的 是 主 从 系统 之 间 相 互 按照 一 定 的 时 间 间 隅 发 送 通信 信和 号， 表明 各 自 系 统 当前 的 运 
行 状 态 。 一 旦 “心跳 ”信号 停止 表明 主机 系统 发 生 故 障 ， 或 者 备用 系统 无 法 收 到 主机 系统 
的 “心跳 ”信号 ， 则 系统 的 高 可 用 性 管理 软件 认为 主机 系统 发 生 故 障 ， 主 机 停止 工作 ， 并 将 
系统 资源 转移 到 备用 系统 上 ， 备 用 系统 将 替代 主机 发 挥 作用 ， 以 保证 网 络 服务 运行 不 间 
斯 。 

双 机 热 备 份 方案 中 ， 最 党 用 的 两 种 热 备 模式 是 双 机 热 备 模式 和 双 机 互 备 模式 。 双 机 互 备 
模式 ( Active/Standby， 激 活 / 停 机 模式 ) 即 一 主 一 备 模式 ， 指 的 是 一 台 服 务 器 处 于 某 种 业务 
的 激活 状态 〈 即 Active 状态 ) ， 另 一 台 服 务 器 处 于 该 业务 的 备用 状态 〈 即 Standby 状态 ) 。 而 
双 机 互 备 模式 〈 双 主机 方式 ) 即 指 两 种 不 同业 务 分 别 在 两 台 服 务 器 上 互 为 主 备 状 态 〈 即 Ac- 
tive-Standby 和 Standby-Active 状态 ) 。 


3.4.3 服务 器 的 负载 均衡 技术 


由 于 目前 现 有 网 络 的 各 个 核心 部 分 随 着 业务 量 的 提高 ， 特 别 是 面向 互联 网 服务 的 业务 ， 
如 在 线 购物 系统 、 在 线 订 票 系统 等 系统 访问 量 和 数据 流量 的 快速 增长 ， 其 处 理 能 力 和 计算 强 
度 也 相应 地 增 大 ， 使 得 单一 的 服务 器 设备 根本 无 法 承担 。 在 此 情况 下 ， 如 果 扔 掉 现 有 设备 去 
做 大 量 的 硬件 升级 ， 这 样 将 造成 现 有 资源 的 浪费 ， 而 且 如 果 再 面临 下 一 次 业务 量 的 提升 时 ， 
这 又 将 导致 再 一 次 硬件 升级 的 高 额 成 本 投入 ， 甚 至 性 能 再 卓越 的 设备 也 不 能 满足 当前 业务 量 
增长 的 需求 。 

一 台 普 通 服 务 器 的 处 理 能 力 只 能 达到 每 秒 几 万 个 到 几 十 万 个 请 求 ， 无 法 在 ls 内 处 理 上 
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百 万 个 甚至 更 多 的 请 求 。 但 若 能 将 多 台 这 样 的 服务 器 组 成 一 个 系统 ， 并 通过 软件 技术 将 所 有 
请 求 平均 分 配给 所 有 服务 器 ， 那 么 这 个 系统 就 完全 拥有 每 秒 钟 处 理 几 百 万 个 甚至 更 多 请 求 的 
能 力 。 这 就 是 负载 均衡 (Load Balance) 最 初 的 基本 设计 思想 。 

负载 均衡 是 由 多 台 服 务 器 以 对 称 的 方式 组 成 一 个 服务 器 集合 ， 每 台 服 务 器 都 具有 平等 的 
地 位 ， 都 可 以 单独 对 外 提供 服务 而 无 须 其 他 服务 器 的 辅助 。 通 过 某 种 负载 分 担 技术 ， 将 外 部 
发 送 来 的 请 求 均匀 分 配 到 对 称 结构 中 的 某 一 台 服务 器 上 ， 而 接收 到 请 求 的 服务 器 独立 地 回应 
客户 的 请 求 。 均 衡 负 载 能 够 平均 分 配 客户 请 求 到 服务 器 阵列 ， 借 此 快速 获取 重要 数据 ， 解 决 
大 量 并 发 访问 服务 问题 。 这 种 群集 技术 可 以 用 最 少 的 投资 获得 接近 于 大 型 主机 的 性 能 。 

负载 均衡 设备 不 是 基础 网 络 设备 ， 而 是 一 种 性 能 优化 设备 。 对 于 网 络 应 用 而 言 ， 并 不 是 
一 开始 就 需要 负载 均衡 ， 当 网 络 应 用 的 访问 量 不 断 增长 ， 单 个 处 理 单元 无 法 满足 负载 需求 
时 ， 网 络 应 用 流量 将 要 出 现 瓶颈 时 ， 负 载 均衡 才 会 起 到 作用 。 利 用 负载 均衡 技术 可 以 将 较 大 
的 处 理 任 务 进行 平衡 、 分 摊 到 多 个 操作 单元 上 进行 执行 ， 例 如 Web 服务 器 、FTP 服务 器 、 
企业 关键 应 用 服务 器 和 其 他 关键 任务 服务 器 等 ， 从 而 共同 完成 工作 任务 。 负 载 均衡 建立 在 现 
有 网 络 结构 之 上 ， 它 提供 了 一 种 廉价 、 有 效 、 透 明 的 方法 扩展 网 络 设备 和 服务 器 的 带宽 ， 增 
加 吞吐 量 ， 加 强 网 络 数据 处 理 能 力 ， 提 高 网 络 的 灵活 性 和 可 用 性 。 

负载 均衡 有 两 方面 的 含义 : 首先 ， i 
单个 重负 载 的 运算 分 担 到 多 台 节 点 设备 
上 做 并 行 处 理 ， 每 个 节点 设备 处 理 结 
后 ,将 结果 汇总 ， 返 回 给 用 户 ， 系 统 处 全 
































理 能 力 得 到 大 幅度 提高 ， 这 就 是 我 们 常 时 

说 的 集群 (clustering) 技术 。 第 二 层 含 天” zy 机 平 UW 
义 就 是 : 大量 的 并 发 访问 或 数据 流量 分 。 pmo es 
担 到 多 台 节 点 设备 上 分 别处 理 ， 减 少 了 下 LB device 内 网 办 公 区 


用 户 等 待 响 应 的 时 间 ， 这 主要 针对 Web 
服务 侨 、FTP 服务 融 、 企 业 关键 应 用 服 


务 器 等 网 络 应 用 。 i 


服务 器 负心 均衡 ， 顾 名 思 义 就 是 对 和 
一 组 服务 器 提供 负载 均衡 业务 。 这 一 组 诵 gy ‘ Wy 
服务 器 一 般 来 说 都 处 于 同一 个 局 域 网 络 
内 ， 并 同时 对 外 提供 一 组 (或 多 组 ) 相 
同 (或 相似 ) 的 服务 。 服 务 器 负载 均衡 
是 数据 中 心 最 常见 的 组 网 模型 ， 图 3-16 展示 了 负载 均衡 在 企业 园区 网 的 应 用 。 为 了 实现 对 
企业 资源 服务 器 的 快速 访问 ， 也 需要 采用 负载 均衡 设备 分 担 企业 数据 访问 流量 。 在 这 种 应 用 
环境 下 ， 可 以 将 负载 均衡 设备 串 接 在 网 络 中 ， 服 务 器 通过 网 络 设备 连接 到 负载 均衡 设备 ， 服 
务 器 网 关 指向 负载 均衡 设备 LB。 


3.4.4 服务 器 虚拟 化 技术 


1. 服务 器 虚拟 化 的 基本 概念 
虚拟 化 技术 〈Virtual Technology) ， 是 指 将 一 人 台 物 理 的 计算 机 软件 环境 分 割 为 多 个 独立 
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图 3-16 企业 园区 网 的 负载 均衡 应 用 














| ” 大 型 园区 网 络 建设 与 管理 


分 区 ， 每 个 分 区 均 可 以 按照 需求 模拟 出 一 台 完 整 计算 机 的 技术 。 模 拟 出 来 的 计算 机 称 为 虚拟 
机 (Virtual Machine，VM) 。 虚 拟 化 技术 的 实质 是 通过 中 间 层 次 实现 计算 机 资源 的 管理 和 再 
分 配 ， 实 现 资源 利用 的 最 大 化 。 虚 拟 化 分 区 带 来 的 最 大 好 处 是 使 同一 物理 平台 能 够 同时 运行 
多 个 同类 或 不 同类 型 的 操作 系统 ， 以 分 别 作 为 不 同业 务 和 应 用 的 支撑 平台 。 

服务 器 虚拟 化 技术 将 服务 器 物理 资源 抽象 成 逻辑 资源 ， 让 一 台 服 务 器 变 成 几 台 甚至 上 百 
台 相 互 隔 离 的 虚拟 服务 器 ， 或 者 让 几 台 服务 器 变 成 一 台 服 务 器 来 用 ， 我 们 不 再 受 限于 物理 上 
的 界限 ， 而 是 让 CPU、 内存、 磁盘、L/O 等 硬件 变 成 可 以 动态 管理 的 “资源 池 ”， 从 而 提高 
资源 的 利用 率 ， 简 化 系统 管理 ， 实 现 服务 器 整合 ， 让 服务 器 硬件 资源 对 业务 的 变化 更 具 适 应 
力 。 简 言 之 ， 服 务 器 虚拟 化 就 是 将 一 台 或 几 台 服务 器 当 作 N 台 服 务 器 来 使 用 或 把 N 台 服 务 
器 当 作 一 台 服 务 器 来 使 用 ， 如 图 3-17 所 示 。 























Web 服 务 


物理 服务 器 。 ”| “i 虚拟 服务 器 ， 
:第 N 个 网 络 服务 ; 











图 3-17 ”服务 带 虚 拟 化 


2. 服务 器 虚拟 化 的 实现 技术 

实现 虚拟 化 的 技术 主要 有 纯 软 件 的 虚拟 化 技术 和 硬件 辅助 虚拟 化 技术 两 种 。 前 者 是 当前 
主流 的 虚拟 化 技术 ， 具 有 成 熟 的 应 用 ， 硬 件 辅助 虚拟 化 技术 是 今后 的 发 展 方 癌 。 

(1) 软件 虚拟 化 技术 

传统 的 计算 机 层次 结构 分 为 三 屋 ， 即 硬件 层 (Hardware Layer) 、 主 机 操作 系统 层 ( Host 
OS Layer) 和 应 用 层 ( Application Layer) 。 在 这 种 结构 中 ， 主 机 操作 系统 统一 控制 、 管 理 和 
分 配 整 个 计算 机 的 硬件 和 软件 资源 ， 这 种 结构 的 缺点 主要 在 于 未 能 充分 发 挥 CPU 的 性 能 ， 
利用 率 较 低 ; 还 有 就 是 一 台 计 算 机 无 法 满足 同时 运行 多 平台 的 应 用 需求 ， 如 果 对 于 一 种 不 同 
的 应 用 程序 采用 一 人 台独 立 的 物理 服务 器 ， 解 决 方案 是 增加 服务 需 的 数量 ， 这 无 疑 将 增加 投资 
成 本 。 

服务 器 虚拟 化 技术 采用 纯 软 件 的 方法 ， 就 是 在 硬件 层 之 上 仍然 安装 被 称 为 主机 操作 系统 
的 系统 ， 在 其 上 部 署 虚拟 机 软件 (Virtual Machine Software，VMS) ， 根 据 实际 应 用 需求 ， 
VMS 可 以 将 物理 计算 机 虚拟 出 多 个 分 区 ， 每 一 个 分 区 称 为 一 个 虚拟 机 ( Virtual Machine， 
VM) 。 虚 拟 机 具有 完整 的 计算 机 应 用 环境 ， 包 括 硬件 层 〈 由 VMS 提供 )、 驱 动 接口 层 (由 
VMS 提供 ) 、 操 作 系 统 (Guest OS Layer) 及 应 用 层 (Applications) ， 都 是 建立 在 计算 机 的 应 
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用 环境 上 ， 属 于 用 户 级 软件 。 这 样 用 户 可 以 “随心 所 欲 ” 地 安装 应 用 程序 。 实 现 这 种 虚拟 
化 技术 关键 在 于 虚拟 机 软件 的 可 靠 性 。 

对 于 一 台独 立 的 物理 服务 器， 在 这 全 服务 器 上 安装 操作 系统 ， 在 操作 系统 安装 相应 的 应 
用 程序 ， 这 种 传统 架构 是 一 台独 立 的 物理 服务 器 作为 一 种 应 用 程序 服务 需 使 用 。 服 务 器 虚拟 
化 之 后 ， 一 全 独立 物 理 服务 融 的 资料 被 虚拟 化 为 若干 个 独立 的 主机 ， 这 些 主机 可 以 单独 安装 
其 他 的 操作 系统 ， 在 操作 系统 之 上 又 可 以 分 别 安装 各 种 不 同 的 应 用 程序 。 其 基本 原理 如 图 
3-18 所 示 。 








应 用 程序 。 应 用 程序 
操作 系统 ”， 操 作 系统 





传统 架构 虚拟 化 架构 


图 3-18 ”传统 架构 与 虚拟 化 架构 的 比较 


基于 软件 虚拟 化 技术 实现 的 虚拟 机 软件 主要 有 VMware 的 Workstation 、Microsoft 的 Hy- 
per-V、Parallels 等 ， 这 些 软件 在 近年 来 得 到 了 迅速 的 推广 和 应 用 。 

(2) 硬件 虚拟 化 技术 

硬件 辅助 虚拟 化 技术 源 于 Intel 公布 的 Vanderpool 技术 ， 即 VT 技术 ,该 技术 对 于 服务 器 
系统 ， 包 括 处 理 需 VT 技术 和 IO 虚拟 分 配 技术 进行 了 规范 。Intel 和 AMD 公司 在 最 近 几 年 发 
布 的 CPU 产品 中 都 集成 了 VT 技术， 为 进一步 推动 和 发 展 虚 拟 化 计算 环境 提供 了 人 硬件 支持 。 

3. VMware 虚拟 化 软件 简介 

VMware 是 一 款 强大 的 虚拟 机 软件 。VMware Infrastructure 是 一 组 完整 的 基础 架构 虚拟 套 
件 ， 此 款 集成 产品 可 提供 全 面 的 综合 虚拟 化 、 管 理 、 资 源 优化 、 应 用 程序 可 用 性 和 操作 自动 
化 功能 。VMware Infrastructure 虚拟 化 并 汇总 多 个 系统 间 的 基础 物理 硬件 资源 ， 同 时 为 虚拟 
环境 中 的 数据 中 心 提供 大 量 虚 拟 资源 。 此 外 ，VMware Infrastructure 还 提供 一 组 分 布 式 服务 ， 
通过 该 服务 ， 可 以 实现 策略 驱动 的 精细 资源 分 配 、 高 可 用 性 和 对 整个 虚拟 数据 中 心 的 整合 
份 。 

VMware Infrastructure 3 是 VMware 虚拟 机 的 核心 软件 ， 作 为 虚拟 数据 中 心 操 作 系 统 ， 可 
以 将 离散 的 硬件 资源 统一 起 来 以 创建 共享 动态 平台 ， 同 时 实现 应 用 程序 的 内 置 可 用 性 、 安 全 
性 和 可 扩展 性 。 为 了 满足 不 同 组 织 的 需求 和 预算 ，VMware Infrastructure 3 将 其 丰富 的 功能 打 
包 在 3 个 版 本 中 : 基础 版 、 标 准 版 和 企业 版 。 每 个 版 本 都 包含 一 个 虚拟 机 管理 程序 以 及 一 套 
管理 功能 。 客 户 可 以 选择 部 署 VMware ESX 或 VMware ESXi。VMware ESX Server 是 一 个 在 物 
理 服 务 器 上 运行 的 、 健 壮 的 、 经 过 生产 验证 的 虚拟 化 层 ， 它 将 处 理 器 、 内 存 、 存 储 器 和 网 络 
资源 抽象 为 多 个 虚拟 机 。 图 3-19 展示 了 一 个 基于 Intel 硬件 虚拟 化 技术 与 Ymware 软件 虚拟 
化 平台 的 结合 应 用 案例 。 
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图 3-19 ”虚拟 化 应 用 实例 


3.5 网 络 存储 系统 


互联 网 已 经 走 人 了 寻常 百姓 家 ， 中 国 接 入 互联 网 的 家 庭 更 是 数 亿 计 ， 给 人 们 融 来 了 一 个 
新 的 信息 时 代 ， 互 联网 信息 资源 呈现 出 爆炸 性 增长 的 态势 。 大 量 的 信息 资源 需要 存储 ， 单 纯 
依靠 服务 顺 的 硬盘 是 远 远 不 够 的 。 另 外 ， 如 果 服 务 需 硬盘 坏 了 ， 数 据 丢 失 了 怎么 办 ? 那么 为 
保证 数据 不 丢失 ， 这 么 多 数据 存储 和 备份 在 哪里 呢 ? 如 学 校 图 书馆 的 服务 器 上 存放 了 20 世 
纪 80 年 代 到 2011 年 的 近 30 年 的 各 种 图 书 资源 、 视 频 音 像 资 源 、 论 文 资 源 等 ， 这 些 数据 需 
要 硬盘 的 空间 多 达 几 十 T (1T=1024C) ， 早 先 的 存储 形式 是 存储 设备 〈 通 常 是 磁盘 ) 与 应 
用 服务 器 其 他 硬件 直接 安装 于 同一 个 机 箱 之 内 ， 并 且 该 存储 设备 是 给 本 人 台 应 用 服务 器 独占 使 
用 的 。 随 着 服务 器 数量 的 增多 ， 磁 盘 数 量 也 在 增加 ， 且 分 散在 不 同 的 服务 器 上 ， 查 看 每 一 个 
人 磁盘 的 运行 状况 都 需要 到 不 同 的 应 用 服务 器 上 去 查看 。 更 换 磁盘 也 需要 拆 开 服务 器 ， 中 断 应 
用 。 于 是 ,一 种 希望 将 磁盘 从 服务 絮 中 脱离 出 来 ,集中 到 一 起 管理 的 需求 出 现 了 。 

因此 ， 对 大 量 数据 进行 有 效 地 存储 、 管 理 和 使 用 成 为 必须 解决 的 问题 ， 对 网 络 信息 存储 
系统 的 要 求 也 空前 提高 。 网 络 存储 正在 得 到 越 来 越 广泛 的 应 用 。 目 前 ， 存 储 体系 结构 的 不 断 
发 展 , 使 得 存储 系统 在 容量 、LO 性 能 、 扩 展 性 、 开 放 性 等 方面 都 有 了 显著 的 提高 和 改善 。 
发 展 一 种 具有 成 本 效益 的 和 可 管理 的 先进 存储 方式 就 成 为 必然 。 


3.5.1 网 络 存储 的 基本 概念 


网 络 存 储 (Network Storage) ， 就 是 以 局 域 网 或 互联 网 为 传输 平台 ， 实 现 数 据 的 传输 与 
存储 ， 数 据 可 以 存储 在 远程 的 专用 存储 设备 上 ， 也 可 以 存储 在 本 地 的 存储 设备 上 。 

计算 机 网 络 技术 的 发 展 促进 了 存储 技术 的 变革 ， 存 储 技术 是 全 新 的 存储 体系 结构 ， 它 采 
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用 面向 网 络 的 存储 体系 结构 ， 使 数据 处 理 和 数据 存储 分 离 。 网 络 存储 体系 结构 包括 了 网 络 和 
IO 系统 的 核心 技术 ,将 IO 的 能 力 扩展 到 网 络 上 ; 特别 是 灵活 的 网 络 寻 址 能 力 ， 远 距离 数 
据 传输 能 力 ，LIZO 高 效 的 原 性 能 ， 通 过 网 络 连 接 服务 器 和 存储 资源 ， 消 除了 不 同 存储 设备 和 
服务 器 之 间 的 连接 障碍 ， 提 高 了 数据 的 共享 性 、 可 用 性 、 可 扩展 性 和 管理 性 。 

网 络 存储 技术 是 基于 数据 存储 的 一 种 通用 网 络 术 语 。 网 络 存储 通信 中 使 用 到 的 相关 技术 
和 协议 包括 SCSI、RAID 、iSCSI 以 及 光纤 信道 。 一 直 以 来 ，SCSI 支持 高 速 、 可 靠 的 数据 存 
储 。RAID (独立 磁盘 见 余 阵列 ) 指 的 是 一 组 标准 ， 提 供 改进 的 性 能 和 /或 磁盘 容错 能 力 。 光 
纤 信 道 是 一 种 提供 存储 设备 相互 连接 的 技术 ， 支 持 高 速 通信 (将 来 可 以 达到 10Gbits) 。 与 
传统 存储 技术 ， 如 SCSI 相 比 ， 光 纤 信 道 也 支持 较 远 距离 的 设备 相互 连接 。iSCSI 技术 支持 通 
过 IP 网络 实现 存储 设备 间 双 向 的 数据 传输 ， 其 实质 是 使 SCSI 连接 中 的 数据 连续 化 。 通 过 
iSCSIT， 网 络 存储 器 可 以 应 用 于 包含 IP 的 任何 位 置 。 


3.5.2 存储 系统 相关 协议 


1. iSCSI 

SCSI (Small Computer System Interface ， 小 型 计算 机 系统 接口 ) 是 一 种 用 于 计算 机 和 知 
能 设备 之 间 〈 硬 盘 、 软 驱 、 光 驱 、 打 印 机 、 扫 描 仪 等 ) 系统 级 接口 的 独立 处 理 器 标准 。SCSI 
是 一 种 智能 的 通用 接口 标准 。 它 是 各 种 计算 机 与 外 部 设备 之 间 的 接口 标准 ， 是 连接 存储 设备 
与 服务 需 的 最 通用 的 方法 。 

iSCSI ( Internet Small Computer System Interface ， 基 于 因特网 的 小 型 计算 机 系统 接口 ) 是 
一 种 基于 TCPZP 的 协议 ， 用 来 建立 和 管理 IP 存储 设备 、 主 机 和 客户 机 等 之 间 的 相互 连接 ， 
并 创建 存储 区 域 网 络 。 存 储 区 域 网 络 使 得 SCSI 协议 应 用 于 高 速 数据 传输 网 络 成 为 可 能 ， 这 
种 传输 以 数据 块 级 别 在 多 个 数据 存储 网 络 间 进行 。 

iSCSI 技术 是 一 种 由 IBM 公司 研究 开发 的 ， 是 一 个 供 硬 件 设备 使 用 的 可 以 在 IP 协 议 的 上 
层 运行 的 SCSI 指令 集 。 这 种 指令 集 可 以 实现 在 IP 网 络 上 运行 SCSI 协议 ， 使 其 能 够 在 诸如 
高 速 千 兆 以 太 网 上 进行 路 由 选择 。iSCSI 技术 是 一 种 新 储存 技术 ， 该 技术 是 将 现 有 SCSI 接口 
与 以 太 网 络 ( Ethernet) 技术 结合 ， 使 服务 器 可 与 使 用 卫 网 络 的 储存 设备 进行 通信 。iSCSI 
的 主要 功能 是 在 TCPAIP 网 络 上 的 主机 系统 (启动 右 initiator) 和 存储 设备 (目标 器 target) 
之 间 进 行 大 量 数据 的 封装 和 可 靠 传输 。 此 外 ，iSCSI 提供 了 在 IP 网 络 封装 SCSI 命令 ， 且 运 
行 在 TCP 上。 

支持 iSCSI 技术 的 服务 器 和 存储 设备 能 够 直接 连接 到 现 有 的 IP 交换 机 和 路 由 器 上 ， 使 得 
存储 设备 与 服务 器 的 连接 更 加 方便 ， 连 接 距 离 更 长 ， 突 破 光 纤 通 道 存 储 网 络 目前 10km 的 局 
限 。 它 利用 现 有 的 TCPZE 基础 设施 来 构筑 存储 网 络 ， 网 络 部 署 成 本 相对 较 低 ; 相对 其 他 大 
多 数 协议 而 言 : 带宽 高 ， 功 能 强 (特别 是 远程 复制 和 灾难 恢复 ) ， 可 用 性 强 。 

2. FC 

FC (Fibre Channel， 光 纤 通 道 ) 标准 是 由 美国 Tl1 标准 委员 会 (美国 国家 信息 技术 标 
准 化 委员 会 (NCITS) 下 属 的 技术 委员 会 ) 制定 的 。 定 义 光纤 通道 是 一 种 在 计算 机 和 海量 存 
储 器 上 广泛 应 用 的 高 速 串 行 接口 。 与 SCSI 接口 相 比 ， 光 纤 通 道 兼 有 LO 通道 和 局 域 网 的 特 
性 ， 光 纤 通 道 可 以 作为 VO 通道 和 局 域 网 的 传输 介质 。 根 据 美国 国家 标准 协会 (ANSI) 的 规 
定 ， 光 纤 通 道 文 持 卫 协议 、SCSI 接口 、 高 性 能 并 行 接口 (HIPPI) 等 协议 。 光 纤 通 道 的 主要 
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特性 有 : 热 插 拔 性 、 高 速 带 宽 、 远 程 连 接 、 连 接 设 备 数 量 大 等 。 目 前 光纤 通道 用 于 服务 器 共 
享 存储 设备 的 连接 以 及 存储 控制 器 和 驱动 右 之 间 的 内 部 连接 ， 传 输 率 可 达到 2Gbit/s (将 来 
会 达到 4GCbit/s)。 


3.5.3 存储 技术 的 分 类 


存储 技术 主要 可 以 分 为 直 连 附加 存储 、 网 络 附加 存储 、 存 储 区 域 网 络 三 类 。 
1. 直 连 附加 存储 
直 连 附加 存储 (Direct Attached Storage，DAS) 是 一 种 传统 的 存储 技术 ， 也 是 一 种 最 早 
被 采用 的 存储 技术 。 它 把 外 部 的 数据 存储 设备 都 直 
接 挂 在 服务 器 内 部 的 总 线 上 ， 数 据 存储 设备 是 服务 
IDE/SCSI bad 
局 














器 结构 的 一 部 分 ， 但 由 于 这 种 存储 技术 是 把 设备 直 
接 挂 在 服务 器 上 〈 见 图 3-20) ， 随 着 需求 的 不 断 增 
大 ， 越 来 越 多 的 设备 添加 到 网 络 环境 中 ， 导 致 服务 
器 和 存储 独立 数量 较 多 ， 资 源 利 用 率 低下 ， 使 得 数 
据 共 享受 到 严重 的 限制 。 因 此 DAS 适用 在 一 些小 服务 器 
型 网 络 应 用 中 。 图 3-20 直接 附加 存储 体系 结构 

2. 网 络 附 加 存储 

网 络 附加 存储 ( Network Attached Storage，NAS) 是 传统 网 络 文件 服务 器 技术 的 发 展 延 
续 ， 是 一 种 网 络 文件 服务 ， 它 提高 了 文件 系统 的 处 理 能 力 、 可 靠 性 、 访 问 连 续 性 和 可 扩展 
性 。NAS 包括 存储 器 件 ( 例 如 硬盘 驱动 器 阵列 、CD 或 DVD 驱动 器 、 磁 带 驱 动 器 或 可 移动 
的 存储 介质 ) 和 专用 服务 器 。 这 些 NAS 设备 直接 连接 到 TCP/IP 网 络 上 ， 网 络 服务 器 通过 
TCP/IP 网 络 存 取 管 理 数据 。NAS 存储 系统 都 是 基于 TCPZE 协议 的 文件 访问 机 制 。 

传统 的 网 络 文件 服务 器 总 体 可 以 分 为 两 大 类 : 

1) Unix 网 络 文件 服务 器 ， 即 文 持 NFS (Network File System， 网 络 文件 系统 ) 服务 器 。 
























2) NT 网 络 文件 服务 器 ， 即 支 Windows 工 作 站 Unix 工 作 站 
持 CIFS ( Common Internet File ] | 
System ， 通 用 Internet 文件 系统 ) 服 和 = Im 
务 器 。CIFS 是 一 个 微软 公司 提出 的 ”全 于 4 全 4 
协议 ， 它 使 程序 可 以 访问 远程 In- | a 
ternet 计算 机 上 的 文件 并 要 求 此 计 注 TCB/p 网 络 * 
算 机 的 服务 。 .En Ey 

专用 服务 器 上 装 有 专门 的 操作 a CIFs 协 议 ”NFS 协议 、、、 





系统 ， 通 常 是 简化 的 Unix/Linux 操 
作 系 统 ， 或 者 是 一 个 特殊 的 Win- 
dows 2000 内 核 。 它 为 文件 系统 管 


理 和 访问 做 了 专门 的 优化 。 专 用 服 D> > 
Unix 服 务 器 


务 器 利用 NFS 或 CIFS， 充 当 远 程 文 人 
件 服务 器 ， 对 外 提供 文件 级 的 访 机 
全 图 3221 NAS 结构 图 
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NAS 系统 具有 很 多 优点 ， 它 支持 即 插 即 用 、 通 过 TCPZIP 网 络 连 接 到 应 用 服务 器 ， 因 此 
可 以 基于 已 有 0 专用 的 操作 系统 支持 不 同 的 文件 系统 ， 提 供 不 同 操作 系 
统 的 文件 共享 。 经 过 优化 的 文件 系统 提高 了 文件 的 访问 效率 ， 也 支持 相应 的 网 络 协 议 。 即 使 
应 用 服务 需 不 再 工作 了 ， 仍 然 可 以 读 出 数据 。NAS 技术 近年 来 得 到 了 广泛 的 应 用 。 

3. 存储 区 域 网 络 

存储 区 域 网 络 (Storage Area Network，SAN) 是 将 所 有 的 存储 设备 连接 在 一 起 构成 存储 
网 络 。 它 是 通过 专用 高 速 网 将 一 个 或 多 个 网 络 存储 设备 和 服务 器 连接 起 来 的 专用 存储 系统 。 
SAN 主要 采用 数据 块 的 方式 进行 数据 和 信息 的 存储 ， 传 统 的 SAN 方式 采用 光纤 通道 技术 ， 
提供 给 用 户 高 速 、 高 可 靠 性 以 及 稳定 安全 的 传输 。 

SAN 由 3 个 基本 的 组 件 构成 : 接口 (如 SCSI、 光 纤 通 道 等 )、 连 接 设 备 (交换 设备 、 网 
关 、 路 由 器 、 集 线 器 等 ) 和 通信 控制 协议 (如 IP 和 SCSI 等 ), 这 3 个 组 件 再 加 上 附加 的 存 
储 设备 和 独立 的 SAN 服务 器 ， 就 构成 一 
个 SAN 系统 。 以 前 的 SAN 多 指 采 用 光 TCP/P 网 络 
纤 通 道 (FC) 的 存储 局 域 网 络 ， 到 iSC- 


SI 协议 出 现 以 后 ， 为 了 区 分 ， 业 界 就 把 
SAN 分 为 FC-SAN 和 IP-SAN。 但 目前 较 国清 以 大风 交 欣 记 


为 成 辑 稳 定 和 应 用 较 广 的 仍然 是 FC- 


SAN 。 
(1) FC-SAN 
FC-SAN 主要 由 磁盘 阵列 、FC- 


北 征 净 口 时 
Switch 交换 机 和 主机 光纤 接口 卡 等 组 
成 ， 如 图 3-22 所 示 。FC-SAN 采用 可 伸 


缩 的 FC-Switch 网 络 拓扑 结构 ， 它 是 一 了 

种 通过 光纤 通道 交换 机 等 连接 设备 将 磁 

盘 阵 列 、 磁 带 等 存储 设备 与 相关 服务 器 | 1 
连接 起 来 的 高 速 专 用 子 网。 光纤 通道 交 pa 


换 机 在 逻辑 上 是 SAN 的 核心 ， 它 连接 着 
主机 和 存储 设备 ， 光 纤 交 换 机 规模 越 
大 ， 下 吐 率 就 越 高 ， 如 : 8-port switch 行 吐 率 为 3.2GB/s，16-port switch 生 吐 率 为 6. 4GB/s。 

(2) IP-SAN 

FC-SAN 虽然 性 能 优越 ， 可 扩展 性 好 ， 但 受 限 于 现 有 的 光纤 传输 方式 ， 价 格 昂贵 。 
此 ， 基 于 普通 IP 协议 和 以 太 网 的 SAN 应 运 而 生 ， 这 就 是 IP-SAN， 它 将 SCSI 协议 映射 到 
TCP/AIP 协议 上 ， 使 得 SCSI 的 命令 、 数 据 和 状态 可 以 在 传统 的 IP 网 上 传输 ， 如 图 3-23 所 
砂 。 

IP-SAN 在 整个 IP 网 上 创建 了 一 个 共享 存储 环境 ， 很 好 地 实现 了 数据 共 a 
由 于 采用 的 是 SCSI、 以 太 网 、 1 等 现 有 技术 和 设施 ， 造价 低 ， 便 于 构建 和 维护 。 
SAN 存储 互 操作 性 好 ， 且 克服 了 FC-SAN 的 距离 限制 ， 把 共享 存储 系统 扩展 到 LAN、WAN 
甚至 Internet 上 。 基 于 以 太 网 的 IP-SAN 系统 可 充分 利用 目前 普遍 使 用 的 IP 网 络 基础 设施 ， 
节约 了 大 量 的 成 本 ， 加 快 了 实施 速度 ， 极 大 地 提高 了 存储 空间 的 利用 率 ， 合 理 地 解决 了 应 用 
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图 3-22 FC-SAN 结构 
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磁盘 阵列 存储 设备 


图 3-23 ”IP-SAN 结构 





网 络 和 存储 网 络 异 构 的 问题 。 

SAN 方式 可 以 在 存储 设备 和 服务 器 之 间 高 效 地 传输 海量 数据 , 减少 了 用 于 数据 备份 和 恢 
复 的 时 间 开 销 以 及 对 局 域 网 网 络 资源 的 占用 。 与 服务 咒 之 间 各 自 独 立 ，SAN 具有 良好 的 扩 
展 性 ， 可 以 在 不 中 断 与 服务 絮 的 连接 的 情况 下 增加 存储 而 不 影响 网 络 性 能 。 通 过 独立 的 区 域 
存储 , 在 集中 的 存储 设备 上 共享 数据 ，SAN 可 以 对 存储 设备 和 数据 进行 集中 的 管理 和 控制 ， 
实现 无 人 值守 情况 下 的 远程 管理 。SAN 还 可 以 实现 异地 存储 ， 提 高 系统 容 灾 的 能 力 。 随 着 
存储 技术 的 发 展 ，SAN 已 经 得 到 了 越 来 越 广泛 的 应 用 。 


3.6 云 存 储 技术 





3.6.1 云 存储 技术 的 基本 概念 


云 存 储 是 在 云 计算 (Cloud Computing) 概念 上 延伸 和 发 展 出 来 的 一 个 新 的 概念 ， 是 指 通 
过 集群 应 用 、 网 格 技术 或 分 布 式 文件 系统 等 功能 ， 将 网 络 中 大 量 不 同类 型 的 存储 设备 通过 
应 用 软件 集合 起 来 协同 工作 ， 共 同 对 外 提供 数据 存储 和 业务 访问 功能 的 一 个 系统 。 当 云 计 
算 系 统 运算 和 处 理 的 核心 是 大 量 数据 的 存储 和 管理 时 ， 云 计算 系统 中 就 需要 配置 大 量 的 
存储 设备 ， 那 么 云 计算 系统 就 转变 成 为 一 个 云 存储 系统 ， 所 以 云 存储 是 一 个 以 数据 存储 
和 管理 为 核心 的 云 计算 系统 。 云 计算 系统 可 以 认为 是 以 数据 处理 、 数 据 运算 为 中 心 的 系 
统 。 云 计算 系统 不 但 能 对 数据 进行 处 理 和 运算 ， 系统 中 还 有 大 量 的 存储 阵列 设备 ， 以 实 
现 对 计算 数据 的 保存 和 管理 。 在 云 计 算 系 统 中 配置 相应 的 存储 设备 ， 该 计算 系统 即 拥 有 
了 云 存储 系统 功能 。 

云 存储 一 般 包含 两 个 含义 : 

1) 云 存储 是 云 计算 的 存储 部 分 ， 即 虚拟 化 的 、 易 于 扩展 的 存储 资源 池 。 用 户 通过 云 计 
算 使 用 存储 资源 池 ， 但 不 是 所 有 的 云 计算 的 存储 部 分 都 是 可 以 分 离 的 。 

2) 云 存 储 意 味 着 存储 可 以 作为 一 种 服务 ， 通 过 网 络 提供 给 用 户 。 用 户 可 以 通过 若干 种 
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方式 来 使 用 存储 ， 并 按 使 用 〈 时 间 、 空 间或 两 者 结合 ) 付费 : 

(D 通 过 互联 网 开放 接口 (如 REST)， 使 得 第 三 方 网 站 可 以 通过 云 存 储 提供 的 服务 为 用 
户 提 供 完 整 的 Web 服务 ; 

G@) 用 户 直接 使 用 存储 相关 的 在 线 服务 ， 比 如 网 络 硬盘 、 在 线 存储 、 在 线 备 份 ， 或 在 线 归 
档 等 服务 。 


3.6.2 云 存 储 技术 的 优势 


相 比 传统 的 存储 系统 ， 云 存储 产品 逐步 体现 出 以 下 几 个 方面 的 优势 : 

1. 成 本 优势 

对 于 产生 大 量 数据 的 生产 型 企业 ， 购 买 和 部 署 存 储 系统 需要 付出 的 成 本 非常 高 ， 而 且 存 
储 系统 的 运行 维护 费用 也 不 低 ， 致 使 很 多 企业 想 办 法 去 “租用 ”存储 系统 ， 而 云 存 储 产品 
正好 可 以 满足 这 一 市 场 需 求 。 云 存储 产品 是 提供 商 在 互联 网 上 部 署 一 个 存储 服务 器 ， 然 后 租 
用 给 企业 ， 企 业 可 以 很 方便 地 像 使 用 自己 的 存储 系统 一 样 来 存 取 数据 ， 可 以 节省 企业 的 IT 
投入 成 本 。 

现在 的 云 存储 产品 中 结合 了 分 级 存储 的 理念 ， 来 进一步 降低 企业 的 存储 成 本 。 分 级 存储 
就 是 根据 数据 的 重要 性 的 不 同 ， 将 其 分 别 存储 在 高 、 中 、 低 端 存储 系统 中 。 当 然 不 同 的 存储 
系统 其 租用 的 价格 也 是 不 同 的 。 像 企业 平时 的 监控 数据 ， 甚 重要 性 就 比较 低 。 而 其 容量 又 比 
较 大 。 如 果 将 其 放置 在 高 端 存 储 系 统 中 ， 需 要 耗费 很 大 的 空间 ， 但 是 又 没有 这 个 必要 。 此 时 
就 可 以 将 其 放置 在 低 端 存储 系统 中 ， 以 降低 空间 租用 的 费用 。 

2. 管理 优势 

云 存储 产品 在 管理 方面 也 体现 出 它 的 优势 。 云 存储 产品 的 运行 维护 都 是 由 供应 商 来 完成 
的 。 也 就 是 说 ， 企 业 自 己 并 不 需要 配备 专业 的 存储 系统 管理 员 ， 这 一 工作 是 由 更 专业 的 云 存 
储 服务 公司 专业 人 员 来 承担 ， 在 稳定 性 或 者 性 能 上 ， 比 自己 维护 要 强 得 多 。 

从 另 一 方面 看 ， 云 存储 产品 更 容易 扩展 。 云 存储 系统 基本 上 都 是 根据 模块 化 来 设计 的 。 
而 模块 化 设计 的 一 个 重要 的 优势 就 在 于 其 灵活 性 比较 高 。 在 后 续 可 以 根据 企业 的 业务 来 进行 
扩展 ， 可 以 根据 业务 量 和 数据 量 的 大 小 灵活 地 配置 和 选择 ， 不 必 担 心 存储 系统 容量 不 够 导致 
的 前 期 投入 损失 。 

3. 访问 优势 

传统 的 存储 系统 部 署 方式 ， 基 本 上 都 是 企业 自行 部 署 存储 系统 ， 存 储 系统 主要 局 限 在 企 
业 局 域 网 内 部 ， 需 要 与 服务 器 及 应 用 系统 搭建 高 速 的 局 域 网 络 ， 带 来 的 弊端 是 不 能 更 好 地 在 
企业 之 外 应 用 服务 。 如 果 采 用 云 存储 产品 ， 就 可 以 解决 这 些 问题 。 用 户 在 外 网 访问 某 个 文件 
时 ， 就 好 像 是 登录 了 163 邮箱 一 样 ， 不 仅 速度 快 ， 而 有 旦 不 需要 经 过 其 他 的 中 间 渠 道 。 用 户 可 
以 随时 随地 根据 自己 的 需要 来 访问 文件 。 

云 存储 产品 与 自己 部 署 服务 器 有 一 个 很 大 的 区 别 ， 就 是 服务 器 的 放置 位 置 。 自 己 部 署 服 
务 器 ， 由 于 种 种 原因 的 限制 ， 服 务 器 往往 是 放置 在 企业 内 部 。 而 云 存 储 产品 ， 其 服务 器 是 放 
置 在 互联 网 上 。 而 这 个 服务 器 位 置 的 不 同 ， 用 户 访问 的 途径 也 就 有 所 不 同 。 云 存储 产品 由 于 
服务 器 是 放置 在 互联 网 上 ， 为 此 无 论 是 内 网 用 户 还 是 外 网 用 户 ， 要 访问 存储 在 云 存 储 产品 上 
的 信息 ， 都 必须 通过 互联 网 才 可 以 访问 (有些 会 在 企业 内 部 服务 器 上 创建 副本 )。 而 由 于 存 
储 服务 器 性 能 优越 ， 会 租用 比较 大 的 带宽 ， 为 此 用 户 访问 的 速度 还 是 可 以 接受 的 。 
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4. 量 身 定 制 的 解决 方案 

云 存 储 产品 在 提供 其 存储 空间 时 ， 其 实 提 供 的 并 不 仅仅 是 空间 本 身 ， 还 会 根据 企业 的 需 
求 给 出 一 个 量 身 定制 的 解决 方案 。 企 业 有 不 同 的 信息 化 应 用 ， 不 同 的 信息 化 应 用 对 存储 设备 
的 要 求 是 不 同 的 。 只 有 分 别 对 待 ， 才 能 够 在 节省 成 本 的 同时 ， 在 性 能 与 安全 上 得 到 最 大 的 满 
足 。 企 业 选 择 使 用 云 存储 产品 时 ， 对 方 会 根据 企业 自己 的 情况 以 及 项 目的 预算 ， 为 企业 打造 
一 套 合 身 的 存储 解决 方案 。 这 就 是 企业 购买 云 存储 产品 时 所 享受 的 附加 服务 。 
3.6.3 云 存 储 的 结构 模型 

与 传统 的 存储 设备 相 比 ， 云 存储 不 仅仅 是 一 个 硬件 ， 而 且 是 一 个 由 网 络 设 备 、 存 储 设 
备 、 服 务 器 、 应 用 软件 、 公 用 访问 接口 、 接 和 人 网 和 客户 端 程序 等 多 个 部 分 组 成 的 复杂 系统 。 
各 部 分 以 存储 设备 为 核心 ， 通 过 应 用 软件 来 对 外 提供 数据 存储 和 业务 访问 服务 。 云 存储 系统 
的 结构 模型 如 图 3-24 所 示 。 





























企 事 业 单位 或 SMB 

个 人 空间 服务 、 运 营 | | 实现 数据 备份 、 数 

访问 层 商 空间 租赁 等 据 归档 、 集 中 存 
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存储 设备 (NAS、FC、iSCSI 等 ) 


图 3-24 云 存 储 系统 的 结构 模型 


云 存储 系统 的 结构 模型 由 四 层 组 成 。 

1. 存储 层 

存储 层 是 云 存 储 最 基础 的 部 分 。 存 储 设备 可 以 是 FC 光纤 通道 存储 设备 ， 可 以 是 NAS 和 
iSCSI 等 IP 存储 设备 ， 也 可 以 是 SCSI 或 SAS 等 DAS 存储 设备 。 云 存储 中 的 存储 设备 往往 数 
量 庞大 且 分 布 于 不 同 地 域 ， 彼 此 之 间 通 过 广域网 、 互 联网 或 者 FC 光纤 通道 网 络 连 接 在 一 
起 。 

存储 设备 之 上 是 一 个 统一 存储 设备 管理 系统 ， 可 以 实现 存储 设备 的 逻辑 虚拟 化 管理 、 多 
链 路 元 余 管 理 ， 以 及 人 硬件 设备 的 状态 监控 和 故障 维护 。 

2. 基础 管理 层 

基础 管理 层 是 云 存 储 最 核心 的 部 分 ， 也 是 云 存储 中 最 难以 实现 的 部 分 。 基 础 管理 层 通过 
集群 、 分 布 式 文件 系统 和 网 格 计 算 等 技术 ， 实 现 云 存 储 中 多 个 存储 设备 之 间 的 协同 工作 ， 使 
多 个 存储 设备 可 以 对 外 提供 同一 种 服务 ， 并 提供 更 大 、 更 强 、 更 好 的 数据 访问 性 能 。 
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CDN 内 容 分 发 系统 、 数 据 加 密 技 术 保证 云 存 储 中 的 数据 不 会 被 未 授权 的 用 户 所 访问 ， 
同时 ， 通 过 各 种 数据 备份 和 容 灾 技术 和 措施 可 以 保证 云 存 储 中 的 数据 不 会 丢失 ， 从 而 保证 云 
存储 自身 的 安全 和 稳定 。 

3. 应 用 接口 层 

应 用 接口 层 是 云 存储 最 灵活 多 变 的 部 分 。 不 同 的 云 存储 和 运营 单位 可 以 根据 实际 业务 类 
型 ， 开 发 不 同 的 应 用 服务 接口 ， 提 供 不 同 的 应 用 服务 。 比 如 视频 监控 应 用 平台 、IPTV 和 视 
频 点 播 应 用 平台 、 网 络 人 硬盘 引用 平台 、 远 程 数据 备份 应 用 平台 等 。 

4. 访问 层 

任何 一 个 授权 用 户 都 可 以 通过 标准 的 公用 应 用 接口 来 登录 云 存 储 系统 ， 享 受 云 存 储 服 
务 。 云 存储 运营 单位 不 同 ， 云 存储 提供 的 访问 类 型 和 访问 手段 也 不 同 。 


3.6.4 云 存 储 的 特点 


云 存储 系统 架构 主要 以 一 个 高 度 可 扩展 和 多 租户 的 方式 按 需 交付 存储 。 通 用 的 云 存储 架 
构 包 含 一 个 导出 API (应 用 程序 接口 ) 以 访问 存储 的 前 端 ， 如 图 3-25 所 示 。 在 传统 的 存储 
系统 中 ， 这 个 API 是 SCSI 协议 。 但 是 在 云 环境 中 ， 这 些 协 议 在 演化 ， 用 户 可 以 找到 Web 服 
务 前 端 、 基 于 文件 的 前 端 ， 其 至 更 多 传统 前 端 ( 比如 Internet SCSI 或 CST) 。 在 前 端 后 面 是 
一 个 中 间 件 层 ， 将 它 称 作 存 储 逻 辑 。 该 层 通过 传统 的 数据 放置 算法 (考虑 地 理 布局 ) 实现 
各 种 功能 ， 比 如 复制 和 数据 简 缩 。 最 后 ， 后 端 实现 对 数据 的 物理 存储 。 这 可 能 是 一 个 实现 特 
定 功能 的 内 部 协议 或 物理 磁盘 的 一 个 传统 后 端 。 
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图 3-25 ” 云 存储 系统 通用 架构 
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1. 可 管理 性 

云 存储 的 一 个 重点 是 成 本 。 投 资 成 本 可 划分 为 两 个 高 级 类 别 : 物理 存储 系统 本 号 的 成 本 
和 管理 运行 维护 成 本 。 管 理 运行 维护 成 本 是 隐 式 的 ,但 却 是 总 体 成 本 的 一 个 长 期 组 成 部 分 。 
为 此 ， 云 存储 必须 能 在 很 大 程度 上 进行 自我 管理 。 引 入 新 存储 ( 其 中 系统 通过 自动 自我 配 
置 来 容纳 它 ) 的 能 力 和 在 出 现 错误 时 查找 和 自我 修复 的 能 力 很 重要 。 在 未 来 ， 诸 如 自主 计 
算 这 样 的 概念 将 在 云 存储 架构 中 起 到 关键 的 作用 。 

2. 访问 方法 

云 存 储 与 传统 存储 之 间 最 显著 的 差异 之 一 是 其 访问 方法 。 大 部 分 提供 商 实 现 多 个 访问 方 
法 ,但 是 Web 服务 APIs 是 常见 的 。Web 服务 APIs 的 一 个 问题 是 ， 它 们 需要 与 应 用 程序 集 
成 ， 以 利用 云 存储 。 因 此 ， 对 云 存 储 也 使 用 常见 的 访问 方法 来 提供 即时 集成 。 例 如 ，NFS/ 
Common Internet File System (CIFS) 或 FTP 等 基于 文件 的 协议 ，iSCSI 等 基于 块 的 协议 。IBM 
还 支持 从 同一 存储 虚拟 化 架构 同时 启用 基于 文件 (NFS 和 CIFS) 的 协议 和 基于 SAN 的 协 
议 。 

3. 性 能 

性 能 表现 为 很 多 方面 ， 但 是 在 用 户 与 远程 云 存 储 提供 商 之 间 移 动 数据 的 能 力 是 云 存 储 最 
大 的 挑战 。TCP 基于 数据 包 确 认 从 对 等 端点 控制 数据 流 。 数 据 包 丢 失 或 延迟 到 达 情 况 下 将 启 
用 阻塞 控制 ， 进 一 步 限 制 性 能 以 避免 更 多 全 局 网 络 问题 。TCP 适用 于 通过 全 局 Internet 局 用 
小 量 数据 ， 但 不 适用 于 会 增加 往返 时 间 (RIT) 的 大 型 数据 移动 。 

通过 Aspera Software ，Amazon 解决 了 这 个 问题 ， 方 法 就 是 从 程序 中 删除 TcP。 且 开发 了 
一 个 称 为 Fast and Secure Protocol (FASP”) 的 新 协议 ， 以 在 大 型 RTT 和 严重 数据 包 于 失 的 
情况 下 加 速 批量 数据 移动 。 关 键 是 UDP 的 使 用 ， 它 是 TCP 的 缔约 方 传输 协议 。UDP 允许 主 
机 管理 阻塞 ， 将 这 个 方面 推进 到 FASP (Fast and Secure Protocol， 快 速 安全 协议 ) 的 应 用 层 
协议 中 。 

4. 多 租户 

云 存 储 架 构 的 一 个 关键 特征 称 为 多 租户 。 这 只 是 表示 存储 由 多 个 用 户 〈 或 多 个 “承租 
者 ”) 使 用 。 多 租户 应 用 于 云 存储 堆栈 的 多 个 层 ， 从 应 用 层 〈 其 中 存储 名 称 空间 在 用 户 之 间 
是 隔离 的 ) 到 存储 层 〈 其 中 可 以 为 特定 用 户 或 用 户 类 隔离 物理 存储 ) 。 多 租户 甚至 适用 于 连 
接 用 户 与 存储 的 网 络 基础 架构 ， 向 特定 用 户 保 证 服务 质量 和 优化 带宽 。 

5. 可 扩展 性 

扩展 存储 需求 (向 上 和 向 下 ) 可 改善 用 户 成 本 ， 提 高 云 存储 提供 商 的 复杂 性 。 不 仅 要 
为 存储 本 身 提供 可 扩展 性 (功能 扩展 )， 而 且 必 须 为 存储 带宽 提供 可 扩展 性 (负载 扩展 )。 
云 存 储 的 男 一 个 关键 特性 是 数据 的 地 理 分 布 (地理 可 扩展 性 ) ， 支 持 经 由 一 组 云 存 储 数据 中 
心 ( 通 过 迁移 ) 使 数据 最 接近 于 用 户 。 对 于 只 读数 据 ， 也 可 以 进行 复制 和 分 布 (使 用 内 容 
传递 网 络 完成 ) 。 在 内 部 ， 一 个 云 存储 架构 必须 能 够 扩展 。 服 务 器 和 存储 必须 能 够 在 不 影响 
用 户 的 情况 下 重新 调整 大 小 。 正 如 在 可 管理 性 部 分 所 讨论 的 ， 自 主 计算 是 云 存储 架构 所 必需 
的 。 

6. 可 用 性 

如 果 一 个 云 存 储 供应 商 有 用 户 的 数据 ， 它 必须 能 够 将 该 数据 提供 给 用 户 。 鉴 于 网 络 中 
断 、 用 户 错 误 和 其 他 情况 ， 这 很 难以 一 种 可 靠 而 确定 的 方式 予以 提供 。 
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7. 控制 

一 名 客户 控制 和 管理 其 数据 存储 方式 及 其 相关 成 本 的 能 力 很 重要 。 许 多 云 存储 提供 商 实 
施 控 制 ， 使 用 户 对 其 成 本 有 更 大 的 控制 权 。 

Amazon 实现 Reduced Redundancy Storage (RRS) ， 是 为 用 户 提供 最 小 化 总 存储 成 本 的 一 
种 方式 。 数 据 是 在 Amazon S3 基础 架构 内 复制 的 ， 但 使 用 RRS， 数 据 复制 次 数 较 少 ， 且 存在 
丢失 数据 的 可 能 性 。 这 适用 于 可 重新 创建 的 或 在 其 他 地 方 有 副本 的 数据 。Nirvanix 还 提供 基 
于 策略 的 复制 来 对 如 何以 及 在 何 处 存储 数据 提供 更 细 的 控制 。 

8. 效率 

存储 效率 是 云 存 储 基 础 架构 的 一 个 重要 特征 ， 特 别 是 将 重点 放 在 总 成 本 上 。 下 一 部 分 专 
门 介 绍 成 本 ， 但 是 该 特征 更 多 的 是 关于 对 可 用 资源 的 高 效 使 用 ， 而 非 成 本 。 

要 使 一 个 存储 系统 更 高 效 ， 必 须 存储 更 多 数据 。 一 个 常见 的 解决 方案 就 是 数据 简 缩 ， 即 
通过 减少 源 数据 来 降低 物理 空间 需求 。 实 现 这 一 点 的 两 种 方法 包括 : 压缩 一 通过 使 用 不 同 的 
表示 编码 数据 来 缩减 数据 一 重复 数据 删除 一 移 除 可 能 存在 的 相同 的 数据 副本 。 虽 然 两 种 方法 
都 有 用 ,但 压缩 方法 涉及 处 理 (重新 编码 数据 进出 基础 架构 )， 而 重复 数据 删除 方法 涉及 计 
算数 据 签名 以 搜索 副本 。 

9. 成 本 

云 存 储 最 显著 的 特征 之 一 是 通过 使 用 降低 成 本 。 这 包括 购置 存储 的 成 本 、 驱 动 存储 的 成 
本 、 修 复 存储 的 成 本 〈 当 驱动 器 出 现 故障 时 ) 以 及 管理 存储 的 成 本 。 在 从 这 个 角度 (包括 
SLAs 和 增加 存储 效率 ) 看 待 云 存 储 时 ， 云 存储 在 某 些 使 用 模型 中 会 很 有 用 。 


3.6.5 云 存 储 解决 方案 


当前 每 个 行业 的 发 展 都 离 不 开 信 息 系统 所 提供 的 智能 、 快 捷 、 灵 活 的 服务 。 但 信息 加 速 
膨胀 的 压力 、 纷 繁复 杂 的 IT 网 络 、 难 以 为 继 的 管理 、 不 断 发 展 的 应 用 类 别 、 快 速 扩充 的 客 
户 规模 、 越 来 越 奇 刻 的 服务 水 平 要 求 ， 都 让 行业 用 户 面临 着 越 来 越 多 的 挑战 。 建 立 面向 服务 
的 “ 云 计算 ”环境 已 经 从 遥 不 可 及 的 奢望 变 成 一 种 迫切 的 现实 需求 。 

“ 云 ” 分 公共 云 和 私有 云 ， 尽 管 对 云 的 建设 要 求 和 目标 各 有 不 同 ， 但 取得 成 功 的 关键 因 
素 却 都 离 不 开 能 快速 交付 、 灵 活 、 可 笔 、 高 可 伸缩 的 云 基础 设施 ， 以 实现 云 基础 设施 服务 
(IaaS)。 本 市 以 人 巨头 IBM 公司 提供 的 云 存储 解决 方案 为 例 ， 来 说 明 云 存储 系统 的 构建 方 
法 。 

作为 云 基础 设施 的 核心 ， 云 存储 的 建设 事 关 项 目的 成 败 。IBM 为 不 同类 型 业务 需求 提供 
一 种 结合 云 计算 的 解决 方案 和 三 种 云 存储 解决 方案 ， 它 们 是 基础 架构 云 方案 SKC (存储 部 
分 使 用 SVC) 、 网 格 化 云 存 储 XIV、 中 端 虚拟 化 云 存储 Storwize V7000 和 文件 型 云 存储 
SoNAS 。 

1. 基础 架构 云 方案 SKC 

Starter Kit for Cloud 为 虚拟 化 平台 提供 关键 功能 。 该 产品 允许 数据 中 心 立即 接 入 云 特性 ， 
数据 中 心 可 根据 需要 随时 动态 交付 资源 并 且 基 于 云 交 付 基 础 设施 即 是 服务 ， 从 而 获得 优势 。 
作为 完全 集成 的 软件 堆栈 ，Starter Kit for Cloud 可 将 虚拟 化 环境 从 “ 云 就 绕 ” 状 态 过 渡 到 真 
正 的 “ 云 ”环境 。 用 户 可 通过 基于 Web 的 界面 快速 请 求 和 调配 环境 。 用 户 可 以 启动 和 停止 
工作 负载 、 调 整 工作 负载 的 大 小 、 复 制 或 删除 工作 负载 ; 可 以 监控 和 管理 工作 负载 审批 流 
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程 ; 可 以 跟踪 资源 使 用 情况 以 便 只 为 所 需 资源 付费 ; 可 以 创建 标准 化 工作 负载 或 设备 。 使 用 
Starter Kit for Cloud 与 现 有 的 虚拟 化 Power 及 x86 系统 环境 配合 使 用 ， 将 能 够 快速 启动 和 运行 
云 基础 设施 。 

数据 中 心 之 所 以 渴望 提高 投资 回报 率 ， 是 因为 用 户 对 异 构 数 据 中 心 当 前 普遍 采用 的 低 效 
率 结构 感到 不 满 。 当 实际 情况 切实 发 生变 化 时 ， 这 些 组 件 却 无 法 进行 互 换 。 为 了 帮助 创建 最 
佳 数 据 中 心 ，Starter Kit for Cloud 提供 的 软件 堆栈 可 将 Power 及 x86 服务 器 硬件 从 可 靠 的 高 性 
能 虚拟 化 平台 转变 成 易于 部 署 且 价格 合理 的 高 级 私有 云 ， 如 图 3-26 所 示 。 


昌 


一 




















vCanter ”Diractur 管 理 


:8 @ 
Es 管理 服务 吕 管理 员 。 用 户 


X86 服务 器 资源 江 ( 一 ) X86 服务 器 资源 池 ( 二 ) 





PC Server | PC Server | PC Server PC Server 


全 PC Server NFSServer 7 ,PC Server NEFS Server  J/ 














SYC Mode A™ _ASYC Mode B 


IP 网 络 一 一 一 
SAN 网 络 一 一 一 





图 3226 SVC 云 存储 解决 方案 








其 中 ，SVC (SAN Volume Controller) 存储 虚拟 化 解决 方案 通过 将 存储 容量 整合 到 一 个 
存储 资源 池 中 ， 简 化 存储 基础 架构 、 对 信息 进行 生命 周期 管理 并 维护 业务 持续 性 。 

通过 存储 虚拟 化 ， 用 户 可 以 从 单一 界面 实现 统一 管理 ， 极 大 地 减少 了 管理 员 的 配置 、 管 
理 和 服务 开销 。 主 机 应 用 程序 不 再 受 存储 池 物 理 更 改 的 影响 。 用 户 可 以 重新 分 配 和 扩展 存储 
容量 ， 而 无 需 中 断 应 用 程序 的 运行 ， 保 障 了 业务 的 连续 性 。 

SVC 解决 方案 帮助 企业 构建 一 个 更 加 简单 、 扩 展 能 力 更 强 、 成 本 效益 更 高 的 开 架构 ， 
灵活 地 与 新 的 业务 目标 保持 一 致 。 

2. 网 格 化 云 存 储 XIV 

XIV 自 其 诞生 之 日 起 就 注定 是 传统 磁盘 存储 产品 的 颠覆 者 。 它 改变 了 存储 设计 的 游戏 规 
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则 ， 当 人 们 还 在 纠缠 硬盘 类 型 、 缓 存 大 小 、 接 口 数量 等 常规 技术 指标 时 ，XIV 以 最 直接 的 方 
式 关心 用 户 体 验 。 传 统 存储 系统 通常 会 面临 的 难以 管理 、 难 以 变更 、 热 点 盘 、 长 时 间 重 建 故 
障 盘 等 问题 在 XIV 上 都 不 存在 。 

网 格 化 的 存储 结构 让 XIV 的 存储 性 能 随 磁 盘 数 量 的 增加 自动 得 到 提升 。 用 户 无 需 面 对 
性 能 优化 、 配 置 调整 、 业 务 中 断 等 存储 管理 难题 即 可 快速 部 署 新 增 业 务 。 一 旦 磁盘 发 生 故 
障 ，XIV 可 以 最 快速 地 将 系统 从 故障 中 恢复 ， 并 且 始 终 保持 性 能 均衡 。XIV 还 可 挂 接 其 他 存 
储 ， 进 行 无 颖 数据 迁移 。XIV 拥有 业界 最 灵活 高 效 的 卷 快 照 功能 ， 快 照 的 数量 不 影响 生产 性 
能 ， 让 快照 成 为 备份 海量 数据 最 可 行 的 一 种 方式 。 

XIV 网 络 化 云 存储 如 图 3-27 所 示 。 








量 ERP ~- 


图 3-27 XIV 网 络 化 云 存储 





3. 中 端 虚拟 化 云 存储 Storwize V7000 

Storwize V7000 的 存储 虚拟 化 技术 继承 自 著名 的 IBM 存储 虚拟 化 解决 方案 SVC。 它 除了 
拥有 SVC 所 具备 的 存储 虚拟 化 能 力 外 ， 还 自 带 磁盘 ， 包 括 SSD 固态 磁盘 和 普通 磁盘 。 它 通 
过 EasyTier 技术 在 SSD 和 普通 硬盘 间 动 态 迁 移 数据 ， 将 SSD 的 性 能 优势 发 挥 至 极致 。Stor- 
wize 存储 系统 如 图 3-28 所 示 。 

Storwize V7000 以 存储 资源 池 的 方式 管理 自 带 磁盘 和 异 构 的 存储 设备 ， 通 过 虚拟 化 技术 
屏蔽 掉 异 构 存 储 设备 间 的 差异 性 ， 为 各 类 云 计算 服务 提供 统一 的 存储 访问 界面 ， 从 而 大 幅 降 
低 云 计算 环境 的 建设 难度 和 成 本 ， 并 且 让 云 计 算 基 础 设施 变 得 更 易于 管理 。 

Storwize V7000 提供 Virtual Disk Mirror 功能 来 提升 核心 业务 的 高 可 用 性 ; 提供 在 线 数据 
迁移 功能 让 物理 存储 的 变更 不 再 影响 业务 的 运营 。Storwize 的 跨 存 储 快照 功能 为 优化 海量 信 
息 的 备份 保护 方式 提供 了 可 能 。 这 种 方案 适合 中 小 企业 虚拟 化 云 存储 部 署 。 

4. 文件 型 云 存 储 SoNAS 

有 些 云 计 算 服 务 需要 处 理 海量 的 文件 信息 ， 如 电信 行业 面向 公众 的 网 盘 服务 、 公 安 部 门 
的 高 清 卡 口 、 媒 体 业 的 非 线 编 媒 资 管理 和 广泛 应 用 于 气象 、 勘 探 部 门 的 HPC 高 性 能 运算 业 
务 。 此 类 业务 需要 处 理 的 文件 数量 动 辑 千 万 计 ， 文 件 容量 有 可 能 超过 1PB。 此 时 ， 普 通 的 网 
络 文件 存储 NAS 会 面临 性 能 、 容 量 、 信 息 管 理 能 力 瓶 颈 。 
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IBM GPFS 并 行 存 储 解决 方案 ， 从 传输 
和 信息 生命 周期 管理 等 方面 为 客户 提供 优秀 
的 管理 外 ee 从 而 帮助 客户 降低 风险 ， 提 升 
投资 回报 ,确保 业务 服务 水 平 。 

IBM Scale Out NAS (SoNAS) 是 以 IBM 
GPFS 并 行文 件 系统 为 核心 的 横向 扩展 文件 
型 存储 解决 方案 ， 它 将 多 个 SAN 存储 整合 到 
同一 命名 空间 ， 从 而 建构 一 一 个 可 高 速 并 行 共 
享 访问 的 存储 系统 。 它 具备 横向 动态 扩展 存 
储 容量 、 横 向 动态 扩展 VO 性 能 和 分 层 存储 
管理 能 

IBM SoNAS 提供 CIFS、NFS、SCP、FTP 
和 HTTP 等 多 种 网 络 访问 接口 ， 最 大 可 管理 
10 亿 个 文件 ， 提 供 14. 4PB 磁盘 空间 ， 可 在 
数 十 个 物理 存储 阵列 间 建 立 起 统一 共享 的 存 
储 命 名 空间 。IBM SoNAS 拥有 丰富 的 信息 管 
理 功 能 ， 包 括 快照 、 复 制 ， 与 自 含 TSM 数据 
备份 接口 用 于 数据 备份 保护 ， 与 IBM 磁带 库 
系统 配合 可 将 历史 信息 自动 迁移 到 磁带 库 
等 。 文 件 型 云 存储 如 图 3-29 所 示 。 














CIFS/NFS/FTP 


图 3-29 文件 型 云 存 储 


90 














性能 、 海 量 信息 管理 、 容 量 在 线 扩展 、 信 息 








ee 本 A z IEM) 
i i 
‘Bu 

sy NEE | Bu insy 














图 3-28 ”Storwize 存储 系统 


IBM 磁 带 库 


GC 


本 














Se 


-一 一 一 


pul 


保护 


第 3 章 数据 中 心服 务 器 与 存储 技术 | 








本 章 小 结 


本 章 主 要 从 服务 器 和 存储 技术 的 角度 进行 了 人 研究。 对 于 大 型 园区 网 络 ， 数 据 中 心 的 建设 
是 必 不 可 少 的 。 数 据 中 心 主要 以 服务 器 和 存储 系统 提供 信息 系统 运行 的 平台 ， 以 提供 面向 本 
单位 的 信息 服务 。 

1) 服务 需 是 信息 系统 运行 最 重要 的 硬件 平台 ， 对 服务 需 硬 件 基础 、 服 务 咒 的 分 类 和 服 
务 俘 系统 的 主要 技术 进行 了 阐述 ;特别 介绍 了 刀片 服务 名 技术 和 虚拟 化 技术 。 服 务 人 硕 虚拟 化 
技术 是 服务 咒 技 术 发 展 的 方向 ， 使 得 数据 中 心 建 设 逐 步 走向 绿色 数据 中 心 。 

2) 存储 系统 是 应 对 互联 网 发 展 大 数据 时 代 到 来 的 重要 开 设备 。 对 存储 系统 的 相关 概 
念 、 分 类 和 主要 技术 进行 了 介绍 。 特 别 是 针对 网 络 存 储 系统 、 最 先进 的 云 存 储 系统 进行 了 介 
绍 ， 并 对 云 存储 解决 方案 进行 了 分 析 。 
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4.1 网 络 安全 概述 


4.1.1 网 络 安全 的 重要 性 


计算 机 网 络 为 我 们 带 来 了 资源 共享 和 数据 通信 的 便利 。 计 算 机 网 络 提供 了 丰富 的 资源 以 
便 用 户 共 享 ， 提 高 了 系统 的 灵活 性 和 可 靠 性 。 计 算 机 网 络 提供 的 分 布 式 处 理 和 均衡 负载 的 功 
能 提高 了 工作 效率 ， 这 些 特点 使 得 计算 机 网 络 应 用 深入 到 国家 的 政治 、 经 济 、 国 防 、 科 技 、 
教育 等 各 个 领域 。 一 个 国家 的 信息 化 程度 越 高 ， 整 个 国民 经 济 和 社会 运行 对 信息 资源 和 信息 
基础 设施 的 依赖 程度 也 越 高 。 今 天 计算 机 网 络 同 人 们 的 生活 、 工 作 已 经 形成 了 密切 的 依赖 和 
联系 ， 可 以 说 网 络 无 处 不 在 ， 它 正在 改变 我 们 的 工作 和 生活 方式 。 

但 是 ， 伴 随 网 络 的 普及 ， 安 全 问题 逐步 成 为 影响 网 络 效 能 的 重要 问题 。 计 算 机 网 络 带 来 
便利 的 同时 也 增加 了 遭受 威胁 和 攻击 的 可 能 性 。 例 如 ， 电 子 政务 得 到 了 空前 的 发 展 ， 政 府 推 
行 网 上 办 公 ， 政 府 的 网 络 代表 着 国家 的 形象 ，1999 年 以 来 ， 我国 的 一 些 政府 网 站 不 断 遭 受 
到 别 国 黑客 组 织 的 攻击 ; 在 电子 商务 领域 ,经常 发 生 网 络 欺骗 事件 ， 使 得 人 们 的 资金 受到 了 
损失 和 威胁 等 。 这 些 问题 的 产生 ， 告 诉 我 们 一 个 事实 资源 共享 和 网 络 安全 是 一 对 矛盾 ， 随 
着 资源 共享 的 发 展 ， 网 络 安全 的 问题 日 益 突 出 。 

网 络 充满 了 安全 隐患 ， 我 们 必须 掌握 足够 的 计算 机 网 络 安全 技术 ， 才 能 保证 自己 的 网 络 
和 信息 系统 安全 、 稳 定 和 可 靠 的 运行 。 


4.1.2 网 络 面临 的 不 安全 因素 
影响 网 络 安全 的 原因 有 很 多 ， 主 要 有 来 自 网 络 系统 外 部 的 攻击 破坏 和 网 络 系统 内 部 的 脆 








弱 性 。 
1. 网 络 系统 的 脆弱 性 
(1) 操作 系统 的 脆弱 性 
当前 无 论 哪 一 种 操作 系统 在 体系 结构 上 都 是 不 安全 的 ， 也 可 以 认为 是 操作 系统 先天 存在 
缺陷 。 一 方面 ， 操 作 系 统 为 了 达到 支持 系统 集成 和 可 扩充 的 灵活 性 而 支持 动态 链接 ， 在 为 厂 
商 和 用 户 提供 方便 的 同时 也 为 黑客 提供 了 入 侵 的 可 能 ， 而 且 动 态 链 接 也 是 计算 机 病毒 产生 的 
温床 。 男 一 方面 ， 操 作 系 统 可 以 创建 进程 ， 而 且 这 些 进程 可 以 在 远程 网 络 节 点 上 被 创建 与 激 
活 ， 更 大 的 隐患 是 被 创建 的 进程 又 可 以 继续 创建 其 他 进程 ， 这 一 个 特性 可 以 让 黑客 在 远程 将 
“ 间 诬 ”程序 以 打 补 丁 的 方式 安装 在 特权 用 户 上 ， 这 样 系统 的 监视 程序 根本 无 法 探测 到 “ 间 
读 ” 程 序 的 存在 。 

(2) 计算 机 系统 本 吴 的 脆弱 性 

操作 系统 的 不 安全 本 身 会 导致 计算 机 系统 的 不 安全 。 另 一 方面 ， 计 算 机 系统 会 因为 便 件 
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故障 、 软 件 故障 影响 到 系统 的 正常 运行 ， 导 致 网 络 服务 的 中 断 。 

(3) 协议 安全 的 脆弱 性 

计算 机 网 络 通信 协议 如 TCPZP 协议 及 一 些 应 用 层 协议 如 TELNET 、FTP、RPC 等 存在 许 
多 安全 漏洞 ， 这 些 漏洞 会 被 黑客 利用 来 对 计算 机 网 络 发 起 攻击 。 

(4) 数据 库 管理 系统 的 脆弱 性 

数据 库 系 统 的 核心 数据 库 管 理 系统 DBMS 是 建立 在 分 级 管理 的 概念 上 ， 它 本 身 需 要 运行 
在 操作 系统 上 ， 这 就 导致 DBMS 的 安全 必须 与 操作 系统 的 安全 配套 ， 这 无 疑 是 一 个 先天 的 不 
足 之 处 。 

除了 以 上 4 个 方面 以 外 ， 还 存在 一 些 如 电磁 泄露 、 网 络 存 储 介质 的 脆弱 性 及 一 些 人 为 的 
因素 ， 这 都 将 成 为 计算 机 网 络 安全 的 隐患 。 

2. 各 种 外 部 威胁 

(1) 物理 威胁 

物理 安全 是 指 用 于 保护 计算 机 硬件 和 存储 介质 的 装置 和 工作 程序 。 和 常见 的 物理 威胁 主要 
包括 以 下 几 个 方面 : 偷 穷 、 上 废物 搜 寻 、 间 谍 行 为 等 。 物 理 安全 是 计算 机 安全 最 重要 的 方面 之 





























(2) 系统 漏洞 威胁 

系统 漏洞 也 被 称 为 陷阱 ， 计 算 机 系统 本 吴 存 在 的 安全 漏洞 会 造成 黑客 乘虚 而 人 ， 还 有 一 
些 不 安全 的 服务 及 配置 和 初始 化 的 错误 引起 的 安全 问题 。 

(3) 有 害 程序 威胁 

有 害 的 程序 包括 计算 机 病毒 、 代 码 炸弹 和 特洛伊 木马 等 。 病 毒 具 有 较 强 的 威胁 性 ， 可 以 
自我 复制 ,感染 计算 机 网 络 上 的 计算 机 系统 造成 次 痪 ;代码 炸弹 也 会 像 定 时 炸弹 一 样 触发 对 
计算 机 系统 产生 极 强 破坏 性 的 操作 ; 特洛伊 木马 被 黑客 植 人 到 入 侵 的 目标 计算 机 中 ， 能 够 通 
过 黑客 的 控制 来 甸 取 目标 计算 机 中 的 数据 或 做 出 各 种 破坏 性 的 操作 。 

(4) 身份 鉴别 威胁 

身份 鉴别 是 计算 机 判断 菜 个 用 户 是 否 为 合法 授权 用 户 的 行为 。 映 份 鉴别 威胁 包括 口令 圈 
套 、 口 令 破 解 、 算 法 考虑 不 周 等 ， 如 口令 圈套 是 黑客 采用 一 种 冒名 项 玲 的 阴谋 诡计 来 骗取 获 
得 进入 计算 机 系统 的 真实 口令 。 


4.1.3 网 络 安全 的 定义 及 特征 


1. 什么 是 网 络 安全 

我 们 常常 听 说 网 络 安全 、 信 息 安全 、 网 络 信息 安全 、 计 算 机 安全 、 系 统 安全 等 名 词 ， 这 
些 不 同 的 说 法 归根 结 底 就 是 两 层 意思 : 确保 计算 机 网 络 环境 下 信息 系统 的 安全 运行 和 信息 系 
统 中 存储 、 处 理 和 传输 的 信息 受到 保护 。 这 就 是 通常 所 说 的 保证 网 络 系统 运行 的 可 靠 性 、 信 
息 的 保密 性 、 完 整 性 和 可 用 性 。 

目前 ， 互 联网 中 存在 着 各 种 各 样 的 漏洞 和 威胁 ， 网 络 安全 涉及 的 领域 极为 广泛 ， 从 不 同 
的 角度 可 以 给 出 不 同 的 解释 。 从 信息 资源 的 角度 来 讲 ， 网 络 安全 的 本 质 是 保证 网 络 上 的 信息 
安全 ， 强 调 对 系统 信息 的 安全 保护 ; 从 网 络 系统 的 角度 来 讲 ， 要 保障 计算 机 网 络 系统 安全 、 
可 靠 、 稳 定 地 运行 ， 网 络 服务 不 中 断 ， 强 调 系统 安全 运行 。 

网 络 安全 涉及 的 领域 相当 广泛 ， 从 不 同 的 角度 或 不 同 的 用 户 具 体 有 不 同 的 含义 。 从 普通 
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用 户 (个 人 人、 企业) 的 角度 来 说 ， 他 们 希望 涉及 个 人 隐私 或 商业 利益 的 有 价值 的 信息 不 被 
其 他 人 或 对 手 利用 欠 听 、 算 改 ， 或 以 抵赖 等 手段 对 他 们 的 利益 造成 侵害 ; 从 网 络 运行 和 管理 
者 的 角度 来 看 ， 他 们 希望 对 本 地 网 络 信息 的 访问 、 读 写 等 操作 受到 保护 和 控制 ， 避 人 免 出 现 病 
毒 、 非 法 存 取 、 拒 绝 服 务 和 网 络 资源 的 非法 占用 及 非法 控制 等 威胁 ,制止 和 防御 网 络 “ 黑 
客 ” 的 攻击 。 下 面 是 国际 标准 化 组 织 (ISO) 给 出 的 一 个 通用 的 定义 。 

计算 机 网 络 系统 的 安全 定义 为 : “为 数据 处 理 系 统 建立 所 采取 的 技术 和 管理 的 安全 保 
护 ， 保 护 计算 机 网 络 系统 的 和 硬件、 软件 和 数据 不 因 偶然 或 恶意 的 原因 而 遭 到 破坏 、 更 改 和 油 
露 ， 系 统 连 续 可 靠 正 常 地 运行 ， 网 络 服务 不 中 断 ”。 

计算 机 网 络 安全 的 内 容 包 括 两 个 方面 : 物理 安全 和 逻辑 安全 。 物 理 安全 指 系统 设备 及 
相关 设施 受到 物理 保护 ， 免 于 破坏 、 丢 失 等 ; 逻辑 安全 包括 信息 完整 性 、 保 密 性 和 可 用 
性 。 

我 们 可 以 通俗 的 理解 为 : 网 络 安全 是 指 网 络 系统 的 人 硬件、 软件 及 其 系统 中 的 数据 受到 保 
护 ， 不 因 偶然 的 或 者 恶意 的 原因 而 遭 到 破坏 、 更 改 或 泄露 ， 系 统 连 续 、 可 靠 、 正 党 的 运行 ， 
网 络 服务 不 中 断 。 从 不 同 的 角度 出 发 ， 对 网 络 安全 也 有 不 同 的 理解 : 

1) 从 网 络 用 户 (个 人 、 企 业 ) 的 角度 来 讲 , 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 
络 中 传输 时 ， 受 到 几 方 面 的 保护 (保密 性 、 完 整 性 和 真实 性 等 )， 避 人 免 其 他 人 利用 欠 听 、 冒 
充 、 算 改 和 抵赖 等 手段 侵犯 或 损害 他 们 的 利益 ， 同 时 也 希望 当 用 户 的 信息 保存 在 某 个 计算 机 
系统 上 时 ， 不 受 其 他 非法 用 户 的 非 授权 访问 和 破坏 。 

2) 从 网 络 运行 和 管理 的 角度 来 讲 ， 和 希望 对 本 地 网 络 信 息 的 访问 、 读 写 等 操作 受到 保护 
和 控制 ， 避 免 出 现 病毒 、 非 法 存 取 、 拒 绝 服 务 的 网 络 资源 的 非法 占用 及 非法 控制 等 威胁 ， 防 
范 和 制止 网 络 黑 客 的 攻击 。 

3) 从 安全 保密 部 门 的 角度 来 讲 ,希望 对 非法 的 、 有 害 的 或 涉及 国家 机 密 的 信息 进行 过 
滤 和 阻截 ， 避 免 出 现 机 密 信 息 泄 露 ， 对 社会 产生 和 危害， 给 国家 造成 巨大 的 损失 ， 甚 至 威胁 到 
国家 安全 。 

4) 从 社会 教育 和 意识 形态 的 角度 来 讲 , 希望 对 网 络 上 不 健康 的 内 容 加 以 控制 ， 避 免 这 
些 信 息影 响 社会 的 稳定 和 对 人 类 的 发 展 产生 不 利 的 影响 。 

2. 网 络 安 全 的 特征 

网 络 安全 的 特征 可 以 概括 为 4 个 方面 : 

1) 保密 性 : 利用 密码 技术 对 信息 进行 加 密 处 理 ， 确 保 信息 不 泄露 给 非 授权 的 用 户 或 供 
其 利用 。 

2) 完整 性 : 保护 网 络 系统 中 的 信息 不 被 非法 操作 ， 即 保证 信息 在 传输 或 存储 的 过 程 中 
不 被 非法 修改 、 不 被 破坏 或 丢失 的 特性 。 

3) 可 用 性 : 可 被 授权 的 用 户 按 需求 使 用 的 特性 ， 即 保证 信息 在 授权 的 用 户 使 用 的 时 候 
可 以 正 背 使 用 ， 不 会 在 网 络 环境 下 拒绝 服务 或 计算 机 网 络 系统 被 破坏 导致 信息 不 可 用 等 问 


题 。 
































4) 可 靠 性 : 保证 网 络 系统 不 因 各 种 因素 的 影响 而 导致 网 络 服务 中 断 ， 影 响 正 常 的 运 


位。 








4.2 网 络 安全 策略 及 防护 体系 


4.2.1 网 络 安全 策略 


针对 各 种 攻击 行为 ， 必 须 采 取 相 应 的 对 策 。 一 个 重要 的 网 络 安全 任务 ， 就 是 要 制定 一 个 
网 络 安全 策略 ; 其 次 是 采取 必 备 的 防范 措施 。 

连接 到 因特网 就 会 面临 网 络 的 威胁 ， 针 对 这 些 威胁 ， 为 了 降低 网 络 安全 的 风险 ， 各 计算 
机 网 络 使 用 机 构 、 企 业 或 单位 ， 应 该 建立 相应 的 网 络 安全 管理 制度 ， 建 立 合适 的 网 络 安全 管 
理 政策 ， 建 立 安 全 审计 和 跟踪 机 制 等 ， 制 定 具 体 的 网 络 安全 策略 ， 提 高 整体 网 络 的 安全 体 
系 。 制 定 网 络 安全 策略 的 目的 是 决定 一 个 组 织 机 构 怎 样 来 保护 自己 。 网 络 安全 的 策略 规定 了 
一 个 组 织 结构 的 网 络 行为 ， 哪 些 网 络 行为 是 允许 的 ， 哪 些 网 络 行为 是 禁止 的 。 各 个 组 织 机 构 
在 制定 安全 策略 的 时 候 ， 都 需要 结合 本 单位 的 情况 ， 制 定 本 单位 的 总 体 安全 政策 和 详细 的 实 
施 规则 ， 这 样 可 以 降低 人 为 的 不 安全 因素 之 来 的 威胁 ; 同时 可 以 采取 积极 主动 的 方式 抵御 网 
络 的 攻击 ， 可 以 降低 单位 的 网 络 安全 风险 。 

一 个 网 络 安全 策略 通常 包括 两 方面 的 内 容 : 

1) 明确 人 的 安全 责任 。 为 保证 计算 机 网 络 系统 的 安全 运行 ， 网 络 系统 的 使 用 单位 应 该 
成 立 计算 机 安全 管理 机 构 ， 规 划 网 络 系统 的 安全 ， 制 定 完善 的 安全 策略 和 措施 ， 建 立 网 络 安 
全 管理 制度 ,设立 专职 安全 人 员 ， 进 行 安全 管理 、 安 全 审计 、 系 统 风 险 分 析 、 软 人 硬件 管理 
等 。 从 事 安 全 管理 的 人 必须 严格 遵守 和 执行 单位 的 安全 管理 规章 制度 ， 明 确 职 责 。 当 然 计算 
机 网 络 安 全 不 单 是 依靠 安全 管理 人 员 ， 更 多 是 依靠 单位 内 部 所 有 员工 的 执行 。 比 如 对 于 普通 
的 计算 机 用 户 ， 必 须 教会 他 们 正确 利用 网 络 资源 ， 规 定 谁 可 以 使 用 网 络 资源 ， 他 们 可 以 做 什 
么 ,不 能 够 做 什么 ,合理 地 执行 网 络 行为 ， 这 些 在 单位 的 安全 管理 制度 中 应 该 有 明确 的 规 
定 ， 可 以 避免 泄露 单位 敏感 的 信息 ， 规 避 人 为 因素 傍 来 的 风险 。 而 系统 安全 管理 人 员 承 担 更 
大 的 责任 ， 必 须 对 计算 机 网 络 进行 监控 ， 采 取 专 门 的 安全 措施 保障 网 络 安全 。 

2) 明确 检测 到 安全 问题 时 的 对 策 。 这 部 分 策略 要 求 安 全 管理 人 员 必 须 明 确 遇 到 安全 问 
题 时 应 采取 的 应 急 措 施 。 当 安全 问题 存在 时 ， 必 须 采取 什么 措施 消除 安全 问题 ， 或 者 当 安全 
问题 发 生 时 ， 怎 样 最 小 程度 地 降低 损失 。 因 此 ， 网 络 安全 策略 中 必须 对 网 络 安全 问题 的 对 策 
提出 明确 的 指导 意见 。 


4.2.2 网 络 安全 防护 体系 


从 系统 安全 的 角度 ， 可 以 把 网 络 安全 的 问题 分 成 两 大 体系 : 攻击 和 防御 ， 这 就 像 一 对 矛 
和 盾 。 

1. 网 络 攻击 行为 

1) 网 络 监听 : 在 计算 机 上 设置 一 个 程序 去 监听 目标 计算 机 与 其 他 计算 机 通信 的 数据 ， 
从 数据 中 分 析出 自己 感 兴趣 的 内 容 。 

2) 漏洞 扫描 : 利用 程序 去 扫描 目标 主机 上 开发 的 端口 及 服务 等 ， 目 的 是 发 现 目标 主机 
存在 的 安全 漏洞 ， 为 入 侵 目 标 主 机 做 好 准备 。 

3) 网 络 入 侵 : 通过 扫描 发 现 目标 主机 的 漏洞 后 ， 利 用 该 漏洞 入 侵 到 目标 计算 机 中 获取 
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信息 。 
4) 种 植 后 门 : 成 功 入 侵 目 标 计算 机 后 ， 为 了 实现 对 目标 主机 的 长 期 控制 ， 在 该 主机 中 
种 植木 马 等 后 门 。 

5) 网 络 隐身 : 入 侵 完 毕 后 退出 目标 计算 机 后 ， 将 入 侵 的 痕迹 清除 ， 以 避免 被 目标 主机 
的 管理 员 发 现 。 

2. 网 络 防御 技术 

1) 操作 系统 的 安全 配置 : 操作 系统 的 安全 是 整个 网 络 的 关键 ， 尽 可 能 选用 更 为 安全 的 
操作 系统 ， 并 确保 操作 系统 不 存在 人 为 配置 上 的 错误 。 

2) 加 密 技 术 : 为 了 保证 网 络 上 信息 传递 的 保密 性 及 完整 性 等 ， 可 以 使 用 加 密 算 法 及 数 
字 签 名 等 技术 。 

3) 防火 墙 技术 : 使 用 防火 墙 隔 离 Web 和 内 部 网 络 ， 以 保护 内 部 网 络 的 安全 ， 抵 御 外 部 
网 络 的 入 侵 行为 。 

4) 入 侵 检测 技术 : 能 够 对 外 部 网 络 的 人 侵 行为 进行 识别 和 判断 ， 从 而 发 出 报警 信号 。 


























4.3 ”常见 的 网 络 黑客 攻击 方法 及 防范 


4.3.1 网 络 攻击 的 步骤 


1. 隐藏 自己 的 位 置 

普通 攻击 者 都 会 利用 别人 的 计算 机 隐藏 他 们 真实 的 卫 地 址 。 老 练 的 攻击 者 还 会 利用 800 
电话 的 无 人 转 接 服务 联接 SP， 然 后 再 盗用 他 人 的 账号 上 网 。 

. 寻找 目标 主机 并 分 析 目 标 主机 

攻击 者 首先 要 寻找 目标 主机 并 分 析 目标 主机 。 在 Internet 上 能 真正 标识 主机 的 是 IP 地 
址 ， 域 名 是 为 了 便于 记忆 主机 的 IP 地址 而 男 起 的 名 字 ， 只 要 利用 域名 和 IP 地 址 就 可 以 顺利 
地 找到 目标 主机 。 当 然 ， 知道 了 要 攻击 目标 的 位 置 还 是 远 远 不 够 的 ， 还 必须 将 主机 的 操作 系 
统 类 型 及 其 所 提供 的 服务 等 资料 做 个 全 面 的 了 解 。 此 时 ， 攻 击 者 会 使 用 一 些 扫描 工具 ， 轻 松 
获取 目标 主机 运行 的 是 哪 种 操作 系统 的 哪个 版 本 ,系统 有 哪些 账户 ,WWW 、FTP、Telnet、 
SMTP 等 服务 噩 程序 是 何 种 版 本 等 资料 ， 为 人 侵 做 好 充分 的 准备 。 

3. 获取 账号 和 密码 ， 登 录 主 机 

攻击 者 要 想 和 人 侵 一 台 主 机 ， 首 先 要 有 该 主机 的 一 个 账号 和 密码 ， 和 否则 连 登录 都 无 法 进 
行 。 这 样 常 迫使 他 们 移 设 法 盗 禄 账户 文件 ， 进 行 破解 ， 从 中 获取 某 用 户 的 账户 和 口令 ， 再 寻 
竟 合 适时 机 以 此 身份 进入 主机 。 当 然 , 利用 某 些 工具 或 系统 漏洞 登录 主机 也 是 攻击 者 常用 的 
一 种 技法 。 

4. 获得 控制 权 

攻击 者 们 用 FTP、Telnet 等 工具 利用 系统 漏洞 进入 目标 主机 系统 获得 控制 权 之 后 ， 就 会 
做 两 件 事 : 清除 记录 和 留 下 后 门 。 攻 击 者 会 更 改 某 些 系 统 设置 ， 在 系统 中 植 人 特洛伊 木马 或 
其 他 一 些 远程 操纵 程序 ， 以 便 日 后 可 以 不 被 觉察 地 再 次 进入 系统 。 大 多 数 后 门 程序 是 预先 编 
译 好 的 ， 只 需要 想 办 法 修改 时 间 和 权限 就 可 以 使 用 了 ， 其 至 新 文件 的 大 小 都 和 原文 件 一 模 一 
样 。 攻 击 者 一 般 会 使 用 rep 传递 这 些 文件 ， 以 便 不 留 下 FTB 记录 。 用 清除 日 志 、 删 除 复制 的 
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文件 等 手段 来 隐藏 自 己 的 踪迹 之 后 ， 攻 击 者 就 开始 下 一 步 的 行动 。 

5. 窃取 网 络 资源 和 特权 

攻击 者 找到 攻击 目标 后 ， 会 继续 下 一 步 的 攻击 。 如 :下载 敏感 信息 ， 窃 取 账 号 密码 ， 使 
网 络 瘫痪 。 


4.3.2 网 络 攻 击 的 原理 和 手段 


1. 口令 入 侵 

所 谓 口 令 入侵 是 指使 用 某 些 合法 用 户 的 账号 和 口令 登录 到 目的 主机 ， 然 后 再 实施 攻击 活 
动 。 这 种 人 侵 方 法 的 前 提 是 必须 先 得 到 该 主机 上 的 某 个 合法 用 户 的 账号 ， 然 后 再 进行 合法 用 
户口 令 的 破译 。 获 得 普通 用 户 账号 的 方法 很 多 ， 如 利用 目标 主机 的 Finger 功能 : 当 用 Finger 
命令 查询 时 ， 主 机 系统 会 将 保存 的 用 户 资料 〈 如 用 户 名 、 登 录 时 间 等 ) 显示 在 终端 或 计算 
机 上 。 通 党 有 三 种 方法 : 

(1) 通过 网 络 监听 获得 口令 

通过 网 络 监听 非法 得 到 用 户口 令 ， 这 类 方法 有 一 定 的 局 限 性 ， 但 危害 性 极 大 。 监 听 者 也 
往往 采用 中 途 截 击 的 方法 获取 用 户 账 户 和 密码 。 当 下 ， 很 多 协议 根本 就 没有 采用 任何 加 密 或 
身份 认证 技术 ， 如 在 Telnet、FTP、HTTP、SMTP 等 传输 协议 中 ， 用 户 账户 和 密码 信息 都 是 
以 明文 格式 传输 的 ， 此 时 硅 攻 击 者 利用 数据 包 截 取 工 具 便 可 很 容易 收集 到 用 户 的 账户 和 密 
人 码 。 还 有 一 种 中 途 截 击 攻击 方法 更 为 厉害 ， 它 可 以 在 用 户 同 服务 器 端 完 成 “三 次 握手 ” 建 
立 连 接 之 后 ， 在 通信 过 程 中 扮演 “第 三 者 ”的 角色 ， 假 冒 服务 器 身份 欺骗 用 户 ， 再 假冒 用 
户 向 服务 器 发 出 恶意 请 求 ， 其 造成 的 后 果 不 堪 设想 。 另 外 ， 攻 击 者 有 时 还 会 利用 软件 和 硬件 
工具 时 刻 监 视 系 统 主 机 的 工作 ， 等 待 记录 用 户 登 录 信 息 ， 从 而 取得 用 户 密码 ; 或 者 编制 有 组 
冲 区 溢出 错误 的 SUID 程序 来 获得 超级 用 户 权 限 。 

(2) 暴力 破解 

在 知道 用 户 的 账号 后 (如 电子 邮件 @ 前面 的 部 分 ) 利用 一 些 专门 软件 强行 破解 用 户口 
令 ， 这 种 方法 不 受 网 段 限 制 。 如 : 采用 字典 穷 举 法 〈 或 称 暴 力 法 ) 来 破解 用 户 的 密码 。 攻 
击 者 可 以 通过 一 些 工 具 程序 ， 自 动 从 计算 机 字典 中 取出 一 个 单词 ， 作 为 用 户 的 口令 ， 再 输入 
给 远 端的 主机 ， 申 请 进入 系统 ; 若 口令 错误 ， 就 按 序 取出 下 一 个 单词 ， 进 行 下 一 次 尝试 ， 并 
一 直 循 环 下 去 ， 直 到 找到 正确 的 口令 或 字典 的 单词 试 完 为 止 。 由 于 这 个 破译 过 程 由 计算 机 程 
序 来 自动 完成 ， 因 而 几 个 小 时 就 可 以 把 上 十 万 条 记录 的 字典 里 的 所 有 单词 都 尝试 一 遍 。 

(3) 利用 系统 管理 员 的 失误 

在 现代 的 Unix 操作 系统 中 ， 用 户 的 基本 信息 存放 在 passwd 文件 中 ， 而 所 有 的 口令 则 经 
过 DES 加 密 方法 加 密 后 专门 存放 在 一 个 叫 shadow 的 文件 中 。 黑 客 们 获取 口令 文件 后 ， 就 会 
使 用 专门 的 破解 DES 加 密 法 的 程序 来 解 口 令 。 同 时 ， 由 于 为 数 不 少 的 操作 系统 都 存在 许多 
安全 漏洞 、Bug 或 一 些 其 他 设计 缺陷 ， 这 些 缺 陷 一 旦 被 找 出 ， 黑 客 就 可 以 长 驱 直 和 人 和。 例如 ， 
让 Windows95/98 系统 后 门洞 开 的 BO 就 是 利用 了 Windows 的 基本 设计 缺陷 。 

2. 放置 特洛伊 木马 程序 

特洛伊 木马 程序 可 以 直接 侵入 用 户 的 计算 机 并 进行 破坏 ， 它 党 被 伪装 成 工具 程序 或 者 游 
戏 等 诱 使 用 户 打开 带 有 特洛伊 木马 程序 的 邮件 附件 或 从 网 上 直接 下 载 ， 一 旦 用 户 打开 了 这 些 
邮件 附件 或 者 执行 了 这 些 程序 之 后 ， 它 们 就 会 像 古 特 洛 分 人 在 敌人 城 外 留 下 的 藏 满 土 兵 的 木 
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马 一 样 留 在 用 户 的 计算 机 中 ， 并 在 用 户 的 计算 机 系统 中 隐藏 一 个 可 以 在 Windows 启动 时 悄悄 
执行 的 程序 。 当 用 户 连接 到 因特网 上 时 ， 这 个 程序 就 会 通知 攻击 者 ， 来 报告 用 户 的 IP 地 址 
以 及 预先 设 定 的 端口 。 攻 击 者 在 收 到 这 些 信息 后 ， 再 利用 这 个 潜伏 在 其 中 的 程序 ， 就 可 以 任 
意 地 修改 用 户 计算 机 的 参数 设 定 、 复 制 文件 、 宪 视 用 户 整个 硬盘 中 的 内 容 等 ， 从 而 达到 控制 
用 户 的 计算 机 的 目的 。 

3. WWW 的 欺骗 技术 

在 网 上 用 户 可 以 利用 IE 等 浏览 器 进行 各 种 各 样 的 Web 站 点 的 访问 ， 如 阅读 新 闻 、 咨 询 
产品 价格 、 订 阅 报纸 、 电 子 商务 等 。 然 而 一 般 的 用 户 恐 怕 不 会 想到 有 这 些 问 题 存 在 : 正在 访 
问 的 网 页 已 经 被 黑客 算 改 过 ， 网 页 上 的 信息 是 虚假 的 。 例 如 黑客 将 用 户 要 浏览 的 网 页 的 
URL 改写 为 指向 黑客 自己 的 服务 器 ， 当 用 户 浏 览 目标 网 页 的 时 候 ， 实 际 上 是 癌 遇 客服 务 右 
发 出 请 求 ， 那 么 黑客 就 可 以 达到 欺骗 的 目的 了 。 

一 般 Web 欺骗 有 两 种 技术 手段 ， 即 URL 地 址 重 写 技术 和 相关 信息 掩盖 技术 。 利 用 URL 
地 址 ， 攻 击 者 可 以 将 自己 的 Web 地 址 加 在 所 有 URL 地 址 的 前 面 。 这 样 ， 当 用 户 与 站 点 进行 
安全 链接 时 ， 就 会 毫 无 防备 地 进入 攻击 者 的 服务 器 ， 于 是 用 户 的 所 有 信息 便 处 于 攻击 者 的 监 
视 之 中 。 但 由 于 浏览 器 一 般 均 设 有 地 址 栏 和 状态 栏 ， 当 浏览 器 与 某 个 站 点 连接 时 ， 可 以 在 地 
址 栏 和 状态 栏 中 获得 连接 中 的 Web 站 点 地 址 及 其 相关 的 传输 信息 ， 用 户 由 此 可 以 发 现 问 题 ， 
所 以 攻击 者 往往 在 URL 地 址 重 写 的 同时 ， 利 用 相关 信息 掩盖 技术 ， 即 一 般 用 JavaScript 程序 
来 重 写 地 址 栏 和 状 述 栏 ， 以 达到 其 掩盖 坎 骗 的 目的 。 

4. 电子 邮件 攻击 

电子 邮件 是 互联 网 上 运用 得 十 分 广泛 的 一 种 通信 方式 。 攻 击 者 可 以 使 用 一 些 邮 件 炸 弹 软 
件 或 CGI 程序 向 目的 邮箱 发 送 大 量 内 容重 复 、 无 用 的 垃圾 邮件 ， 从 而 使 目标 邮箱 被 撑 爆 而 
无 法 使 用 。 当 过 圾 邮件 的 发 送 流量 特别 大 时 ， 还 有 可 能 造成 邮件 系统 对 于 正 浓 的 工作 反映 组 
慢 ， 甚 至 准 痪 。 

电子 邮件 攻击 主要 表现 为 两 种 方式 : 

1) 电子 邮件 受 炸 和 电子 邮件 “滚雪球 ”， 也 就 是 通常 所 说 的 邮件 炸弹 ， 指 的 是 用 伪造 
的 了 下 地 址 和 电子 邮件 地 址 向 同一 信箱 发 送 数 以 千 计 、 万 计 甚 至 无 穷 多 次 的 内 容 相 同 的 垃圾 
邮件 ， 致 使 受害 人 邮箱 被 “ 炸 ”， 严 重 者 可 能 会 给 电子 邮件 服务 器 操作 系统 带 来 危害 ， 甚 至 
次 痪 。 

2) 电子 邮件 坎 骗 ， 攻 击 者 伴 称 自己 为 系统 管理 员 (邮件 地 址 和 系统 管理 员 完 全 相同 ) ， 
给 用 户 发 送 邮 件 要 求 用 户 修 改口 令 (口令 可 能 为 指定 字符 串 ) 或 在 貌似 正和 常 的 附件 中 加 载 
病毒 或 其 他 木马 程序 。 

5. 通过 一 个 节点 来 攻击 其 他 节点 

攻击 者 在 突破 一 台 主 机 后 ， 往 往 以 此 主机 作为 根据 地 ， 攻 击 其 他 主机 (以 隐蔽 其 人 侵 
路 径 ， 避 人 免 留 下 蛛丝马迹 )。 他 们 通过 网 络 监听 方法 ， 尝 试 攻破 同一 网 络 内 的 其 他 主机 ; 或 
通过 IP 欺骗 和 主机 信任 关系 ,攻击 其 他 主机 。 

这 类 攻击 很 狐 独 ， 但 由 于 某 些 技术 很 难 掌 握 ， 如 TCPZIP 欺骗 攻击 。 攻 击 者 通过 外 部 计 
算 机 伪装 成 男 一 台 合 法 机 器 。 其 伪装 的 目的 在 于 哄骗 网 络 中 的 其 他 机 器 误 将 其 作为 合法 机 器 
加 以 接受 ， 诱 使 其 他 机 器 向 他 发 送 数 据 或 允许 它 修 改 数 据 。TCP/IP 欺骗 可 以 发 生 在 TCP/IP 
系统 的 所 有 层次 上 ， 包 括 数据 链 路 层 、 网 络 层 、 运 输 层 及 应 用 层 均 容易 受到 影响 。 如 果 底 层 
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受到 损害 ， 则 应 用 层 的 所 有 协议 都 将 处 于 危险 之 中 。 男 外 ， 由 于 用 户 本 里 不 直接 与 底层 相互 
交流 ， 因 而 对 底层 的 攻击 更 具有 欺骗 性 。 

6. 网络 监听 

网 络 监听 是 主机 的 一 种 工作 模式 ， 在 这 种 模式 下 ， 主 机 可 以 接收 到 本 网 段 在 同一 条 物理 
通道 上 传输 的 所 有 信息 ， 而 不 管 这 些 信 息 的 发 送 方 和 接收 方 是 谁 。 因 为 系统 在 进行 密码 校 验 
时 ， 用 户 和 输入 的 密码 需要 从 用 户 端 传送 到 服务 器 端 ， 而 攻击 者 就 能 在 两 端 之 间 进 行 数 据 监 
听 。 此 时 知 两 台 主 机 进行 通信 的 信息 没有 加 密 ， 只 要 使 用 某 些 网 络 监听 工具 (如 NetXRay 
for Windows95/98ANT/2003 、Sniffit for Linux 、Solaries 等 ) 就 可 轻而易举 地 截取 包括 口令 和 
账号 在 内 的 信息 资料 。 虽 然 网 络 监听 获得 的 用 户 账号 和 口令 具有 一 定 的 局 限 性 ， 但 监听 者 往 
往 能 够 获得 其 所 在 网 段 的 所 有 用 户 账 号 及 口令 。 

7. 利用 黑客 软件 攻击 

利用 黑客 软件 攻击 是 互联 网 上 比较 多 的 一 种 攻击 手法 。Back Orifice2000 、 冰 河 等 都 是 比 
较 著 名 的 特洛伊 木马 ， 它 们 可 以 非法 地 取得 用 户 计算 机 的 超级 用 户 级 权利 ， 可 以 对 其 进行 完 
全 的 控制 ， 除 了 可 以 进行 文件 操作 外 ， 同 时 也 可 以 进行 对 方 保 面 抓 图 、 取 得 密码 等 操作 。 这 
些 黑客 软件 分 为 服务 器 端 和 用 户 端 ， 当 黑客 进行 攻击 时 ， 会 使 用 用 户 端 程序 登录 已 安装 好 服 
务 器 端 程序 的 计算 机 ， 这 些 服 务 器 端 程序 都 比较 小 ， 一 般 会 附带 于 某 些 软件 上 。 有 可 能 当 用 
户 下 载 了 一 个 小 游戏 并 运行 时 ， 黑 客 软 件 的 服务 硕 端 就 安装 完成 了 了， 而且 大 部 分 黑客 软件 的 
重生 能 力 比 较 强 ， 给 用 户 进 行 清除 造成 了 一 定 的 及 烦 。 特 别 是 最 近 出 现 了 一 种 txt 文件 欺骗 
手法 ， 表 面 看 上 去 是 一 个 txt 文本 文件 ， 但 实际 上 却 是 一 个 附带 黑客 程序 的 可 执行 程序 。 另 
外 ， 有 些 程序 也 会 伪装 成 图 片 和 其 他 格式 的 文件 。 

8. 安全 漏洞 攻击 

许多 系统 都 有 这 样 那样 的 安全 漏洞 〈Bugs) 。 其 中 一 些 是 操作 系统 或 应 用 软件 本 号 就 具 
有 的 ， 如 缓冲 区 游 出 攻击 。 由 于 很 多 系统 不 检查 程序 与 缓冲 之 间 变 化 的 情况 ， 就 任意 接受 任 
意 长 度 的 数据 输入 ， 把 溢出 的 数据 放 在 堆栈 里 ， 系 统 还 照常 执行 命令 。 这 样 攻击 者 只 要 发 送 
超出 缓冲 区 所 能 处 理 的 长 度 的 指令 ， 系 统 便 进入 不 稳定 状态 。 硅 攻击 者 特别 配置 一 串 准备 用 
作 攻 击 的 字符 ， 他 甚至 可 以 访问 根 目录 ， 从 而 拥有 对 整个 网 络 的 绝对 控制 权 。 另 一 些 攻 击 者 
是 利用 协议 漏洞 进行 攻击 。 如 攻击 者 利用 POP3 一 定 要 在 根 目录 下 运行 的 这 一 漏洞 发 动 攻 
击 ， 破 坏 根 目 录 ， 从 而 获得 超级 用 户 的 权限 。 又 如 ，ICMP 协议 也 经 常 被 用 于 发 动 拒 绝 服务 
攻击 。 它 的 具体 手法 就 是 向 目的 服务 需 发 送 大 量 的 数据 包 ， 几 乎 占 取 该 服务 器 所 有 的 网 络 宽 
带 ， 从 而 使 其 无 法 对 正常 的 服务 请 求 进行 处 理 ， 导 致 网 站 无 法 进入 、 网 站 响应 速度 大 大 降低 
或 服务 器 次 病 。 现 在 常见 的 蠕虫 病毒 或 与 其 同类 的 病毒 都 可 以 对 服务 器 进行 拒绝 服务 攻击 。 
它们 的 楷 殖 能 力 极 强 ， 一 般 通 过 Microsoft 的 Outlook 软件 向 众多 邮箱 发 送 带 有 病毒 的 邮件 ， 
从 而 使 邮件 服务 器 无 法 承担 如 此 庞大 的 数据 处 理 量 而 瘫痪 。 对 于 个 人 上 网 用 户 而 言 ， 也 有 可 
能 遭 到 大 量 数据 包 的 攻击 而 无 法 进行 正常 的 网 络 操作 。 


4.3.3 IP 欺骗 攻击 


1. IP 电子 欺骗 
所 谓 了 下 电子 欺骗 攻击 是 指 利用 TCPAIP 本 身 的 缺陷 进行 的 入 侵 ， 即 用 一 人 台 主 机 设备 冒充 
男 外 一 台 主 机 的 地址 ， 与 其 他 设备 通信 ， 从 而 达到 欺骗 的 目的 。 被 伪造 的 主机 往往 具有 
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某 种 特权 或 者 被 另外 的 主机 所 信任 。 卫 电子 欺骗 是 入 侵 者 攻克 Internet 防火 墙 系统 最 常用 的 
方法 ， 也 是 许多 其 他 攻击 方法 的 基础 。 对 于 来 自 网 络 外 部 的 IP 电子 欺骗 ， 只 要 配置 一 下 防 
火 墙 就 可 以 了 ， 但 对 同一 网 络 内 的 机 器 实施 攻击 则 不 宜 防范 。 实 际 上 ， 了 PP 欺骗 不 是 进攻 的 
结果 ， 而 是 进攻 的 手段 。 进 攻 实 际 上 是 破坏 信任 关系 。 另 外 ， 在 互联 网 络 上 也 出 现 了 大 量 的 
可 以 发 送 伪造 IP 地 址 的 工具 ， 使 用 它 可 以 任意 指定 源 卫 地 址 ， 以 免 留 下 自己 的 痕迹 。 

2. IP 电子 欺骗 原理 

为 了 清楚 地 了 解 IP 电子 欺骗 ， 首 先 需 要 回顾 一 下 TCPZIP 会 话 的 过 程 。 由 于 TCP 是 面 
向 连接 的 协议 ， 所 以 在 双方 正式 传输 数据 之 前 ， 需 要 用 “三 次 握手 ”来 建立 一 个 稳定 的 连 
接 。 假 设 X、Y 两 台 主 机 进行 通信 ，Y 首先 发 送 带 有 SYN 标志 的 数据 段 通知 X 需要 建立 TCP 
连接 ，TCP 的 可 靠 性 就 是 由 数据 包 中 的 多 位 控制 字 来 提供 的 ， 其 中 最 重要 的 是 数据 序列 SYN 
和 数据 确认 标志 ACK。Y 将 TCP 报头 中 的 SYN 设 为 自己 本 次 连接 的 初始 值 (ISN) 。X 收 到 
Y 的 SYN 包 之 后 ,会 发 送 给 立 一 个 带 有 SYN + ACK 标志 的 数据 段 ， 告 之 自己 的 ISN， 并 确 
认 了 发 送 来 的 第 一 个 数据 段 ， 将 ACK 位 设置 成 X 的 SYN+1。X 收 到 Y 的 ACK 后 ， 连 接 成 
功 建立 ， 双 方 可 以 正式 传输 数据 了 。 

过 程 分 为 三 步 : 

1) Y 发 送 带 有 SYN 标志 的 数据 段 通知 X 需要 建立 TCP 连接 。 

2) X 收 到 YY 的 SYN 包 后 ， 发 送 给 Y 一 个 带 有 SYN + ACK 标志 的 数据 段 ， 告 之 自己 的 
ISN。 

3) YY 发送 ACK 给 X， 连 接 成 功 建立 。 

从 三 次 握手 的 过 程 来 看 ， 假 如 一 个 攻击 者 要 冒充 Y 对 X 进行 攻击 ， 就 要 先 使 用 Y 的 
IP 地 址 发 送 SYN 标志 给 X， 但 是 当 X 收 到 后 ， 它 并 不 会 把 SYN + ACK 发 送 到 冒充 者 的 主 
机 ， 而 是 发 送 到 真正 的 Y 上 去 ， 冒 充 者 的 企图 将 会 立即 被 揭穿 ， 因 为 了 根本 没有 发 过 
SYN 请 求 。 因 此 ， 要 冒充 Y， 攻 击 者 首先 会 让 Y 失去 工作 能 力 ， 比 如 利用 拒绝 服务 攻击 
让 YY 瘫痪 。 

3. IP 电子 欺骗 攻击 的 过 程 解析 

IP 电子 欺骗 是 利用 主机 之 间 的 正常 信任 关系 来 发 动 的 。 所 谓 信 任 关系 就 是 网 络 上 存在 

人 台 主 机 X 和 Y，Y 可 以 利用 远程 登录 工具 (如 Telnet、Rlogin) ,无需 口令 验证 就 可 以 登录 
到 X 主 机上， 这 依靠 X 对 YY 的 了 P 地 址 的 验证 。 如 果 X 人 允许 Y 登录 并 且 提 供 服 务 是 基于 对 主 
机 YY 的 IP 地 址 的 信任 。 如 果 一 个 攻击 者 冒充 Y, 伪造 Y 的 IP 地 址 ， 也 可 以 使 用 远程 登录 工 
具 访 问 X， 这样 全 电子 欺骗 攻击 就 发 生 了 。 

IP 攻击 的 全 过 程 如 下 : 

1) 选 定 一 个 目标 主机 ， 比 如 X。 其 次 ,信任 模式 已 被 发 现 ， 并 找到 了 一 个 被 目标 主机 
信任 的 主机 ， 比 如 Y。 

2) 发 现 被 信任 的 主机 了 ， 首 先 使 其 丧失 工作 能 力 ， 以 使 其 不 能 接收 到 任何 有 效 的 网 络 
数据 ， 否 则 会 被 揭穿 。 采 用 的 办 法 是 拒绝 服务 攻击 等 。 

3) 攻击 者 伪装 成 被 信任 的 主机 Y， 同 时 建立 起 与 目标 主机 基于 IP 地 址 验证 的 应 用 连 
接 。 如 果 连 接 成 功 ， 攻 击 者 可 以 使 用 一 种 简单 的 命令 设置 一 个 系统 后 门 ， 以 进行 非 授权 操 
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4.3.4 保护 口令 安全 

1. 口令 安全 概述 

口令 是 访问 控制 最 简单 而 有 效 的 方法 。 只 要 口令 保持 机 密 ， 非 授权 用 户 就 无 法 使 用 该 账 
号 。 目 前 ， 通 过 口令 进行 身份 认证 是 实现 计算 机 安全 的 主要 手段 之 一 。 一 个 用 户 的 口令 被 非 
法 获取 ， 则 该 非法 用 户 就 获得 了 该 用 户 的 全 部 权限 ， 对 于 高 权限 用 户 来 说 ， 主 机 和 网 络 也 失 
去 了 安全 性 。 黑 客 攻击 目标 系统 时 ， 常 常 把 破译 普通 用 户 的 口令 作为 攻击 的 开始 ， 采 用 字典 
穷 举 法 进行 口令 破解 。 

人 们 习惯 于 将 口令 称 为 密码 。 其 实 ， 这 两 者 之 间 还 是 有 所 差别 的 。 一 般 来 说 ， 口 令 比 较 
简单 ， 随 便 ; 而 密码 则 不 一 样 ， 它 要 正式 一 些 ， 也 要 复杂 一 些 。 如 果 针 对 一 台 计 算 机 系统 上 
的 账号 而 言 ， 密 码 是 一 个 变量 ， 而 口令 则 是 一 个 常量 。 

利用 口令 作为 身份 验证 是 一 种 背 用 的 基本 手段 ， 使 用 口令 也 面临 着 许多 安全 问题 。 在 
Internet 上 ， 由 于 系统 没有 口令 或 者 口令 设置 的 不 科学 、 太 简单 ， 从 而 使 得 系统 被 人 侵 的 情 
况 数 不 胜 数 。 攻 击 者 企图 得 到 系统 的 口令 文件 ， 从 口令 文件 中 可 以 破译 出 一 些 口 令 和 用 户 
名 ,便于 以 后 冒充 合法 的 用 户 访问 这 台 主 机 ， 一 旦 发 现 系 统 的 口令 文件 被 非法 访问 过 ,一 定 
要 更 换 所 有 的 口令 。 当 在 计算 机 网 络 上 使 用 口令 身份 认证 的 时 候 , 口令 很 容易 被 网 络 监 听 
到 ， 这 样 就 得 考虑 口令 加 密 的 方法 。 当 无 法 实现 加 密 的 时 候 ， 就 必须 保证 在 网 上 传输 的 口令 
是 一 次 性 口令 。 因 为 一 次 性 口令 即使 被 人 监听 了 也 没有 关系 。 

2. 不 安全 口令 产生 的 原因 分 析 

安全 的 口令 是 那些 很 难 猜测 的 口令 。 它 们 通常 不 仅 由 大 小 写字 母 组 成 ,还 有 数字 、 字 
符 、 标 点 符号 、 控 制 字 符 和 空格 等 ， 而 且 上 毫 无 规律 排列 。 口 令 的 长 度 至 少 是 8 个 字符 以 上 ， 
以 使 破解 的 难度 更 大 。 

不 安全 的 口令 通常 是 名 字 ， 包 括 人 名 、 宠 物 名 、 公 司 名 、 甚 至 幻想 中 的 事物 的 名 字 ， 还 
有 一 些 特殊 的 号 码 ， 如 生日 、 纪 念 日 、 身 份 证 号 、 手 机 号 码 等 ， 这 些 信息 是 很 容易 被 人 获得 
的 ， 也 是 极 不 安全 的 。 产 生 不 安全 口令 有 几 个 方面 的 原因 : 一 是 人 们 通常 认为 好 记忆 的 口令 
就 是 好 口令 ,设置 复杂 的 口令 不 容易 记 住 还 觉得 麻烦 ， 这 些 人 设置 口令 的 原则 就 是 简单 好 记 
好 用 ， 所 以 通常 是 将 自己 或 家 人 的 生日 、 有 纪念 意义 的 日 子 作 为 口令 ; 二 是 人 们 对 口令 安全 
的 重视 程度 不 够 ， 麻 兽 大 意 。 人 人 都 知道 口令 很 重要 ， 但 是 要 设置 一 个 复杂 的 口令 就 觉得 麻 
烦 ， 还 是 方便 记忆 为 好 ， 这 就 让 黑客 有 了 可 乘 之 机 。 

3. 安全 口令 的 设置 方法 

在 建立 口令 时 ， 最 好 遵循 如 下 的 原则 : 

1) 尽量 选择 长 的 口令 ， 口 令 越 长 ， 被 破解 的 可 能 性 就 越 低 。 通 常 一 般 的 系统 接受 6 个 
字符 的 口令 ， 若 选择 6 个 字符 以 上 甚至 更 长 的 口令 ， 可 以 增加 安全 性 。 

2) 口令 应 该 由 一 些 大 小 写字 母 、 数 字 、 标 点 符号 和 一 些 控制 字符 等 组 合 而 成 。 

3) 对 用 户口 令 设 置 情况 进行 监测 ， 并 强制 用 户 定期 改变 口令 。 

4. 怎样 保护 系统 的 口令 

保护 口令 安全 通常 有 以 下 一 些 经 验 。 

1) 不 要 将 口令 写 下 来 。 

2) 不 要 将 口令 存放 在 计算 机 中 或 带 存 储 功 能 的 电子 设备 中 。 
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3) 不 要 选择 熟悉 事物 的 名 字 作 为 口令 。 

4) 不 要 使 用 自己 名 字 、 家 人 的 名 字 、 宠 物 的 名 字 作 为 口令 。 

5) 不 要 使 用 熟悉 的 数字 如 生日 、 纪 念 日 等 作为 口令 。 

6) 不 要 将 口令 轻易 告诉 任何 人 。 

7) 不 要 在 不 同 的 系统 中 使 用 同一 个 口令 。 

8) 不 要 使 用 英语 单词 。 

9) 不 要 选择 不 容易 记忆 的 口令 。 

10) 为 防止 眼 明 手 快 的 人 窃取 口令 ， 在 输入 口令 时 应 确认 无 人 在 身边 。 
11) 对 口令 文件 进行 隐藏 。 

















4.4 网 络 安 全 技术 基础 理论 


4.4.1 密码 技术 的 基本 概念 


1. 了 解密 码 技 术 的 重要 性 

密码 技术 是 网 络 安全 的 基础 。 它 来 源 于 密码 学 。 密 码 学 是 一 门 古老 而 深奥 的 学 科 ， 它 以 
认识 密码 变换 为 本 质 ， 以 加 密 与 解密 的 基本 规律 为 研究 对 象 。 一 般 人 对 密码 学 是 陌生 的 ， 因 
为 长 期 以 来 ， 它 只 被 应 用 在 军事 、 外 交 、 和 情报 和 保密 等 部 门 。 随 着 计算 机 安全 问题 的 日 益 突 
出 ， 密 码 学 逐步 被 应 用 于 计算 机 网 络 ， 利 用 现代 技术 手段 对 计算 机 系统 中 的 数据 进行 加 密 、 
解密 和 变换 ， 形 成 了 很 多 新 的 密码 技术 ， 如 数字 签名 、 里 份 鉴别 技术 等 ， 密 码 技术 也 得 到 了 
前 所 未 有 的 发 展 和 应 用 。 密 码 学 包括 密码 编码 学 和 密码 分 析 学 。 密 码 编码 学 研究 如 何 对 信息 
进行 编码 ， 使 得 编码 后 的 信息 除 指定 接收 这 之 外 的 其 他 人 都 不 能 理解 ; 密码 分 析 学 研究 如 何 
破译 一 个 密码 系统 ， 恢 复 被 隐藏 信 息 的 本 来 面目 。 由 此 可 见 ， 密 码 编 码 学 是 实现 对 信息 加 密 
的 ， 密 码 分 析 学 是 实现 对 信息 解密 的 ， 这 两 个 部 分 相辅相成 ， 互 相 促进 ， 是 一 对 形成 攻防 的 
矛 和 盾 。 人 们 为 了 使 因特网 上 的 有 价值 的 信息 不 被 针 取 或 者 算 改 ， 选 择 了 数据 加 密 技术 和 基 
于 加 密 技 术 的 身份 认证 。 加 密 在 网 络 上 的 作用 就 是 防止 有 价值 的 信息 在 网 络 上 被 拦截 后 遭 到 
非法 阅读 ， 即 使 攻击 者 甸 取 到 了 在 网 络 上 传输 的 信息 ,但 是 如 果 他 无 法 破解 这 一 信息 ， 无 法 
获取 信息 的 真实 内 容 ， 就 不 会 使 信息 造成 泄露 。 要 保证 信息 在 网 络 上 传输 的 安全 性 以 及 真实 
性 、 防 算 改 等 ， 只 有 依靠 强大 的 密码 技术 才能 实现 。 

2. 加 密 和 解密 的 基本 概念 

下 面 介绍 一 些 密码 技术 的 基本 概念 。 

1) 明文 (Plaintext) ， 是 信息 的 原文 ， 未 做 任何 处 理 的 原始 状态 ， 一 般 用 了 或 M 表示 。 

2) 密 文 (Ciphertext) ， 是 明文 经 过 特殊 变换 后 的 信息 ， 是 难以 识别 的 ， 一 般 用 C 表示 。 

3) 加 密 (Encryption) ， 用 某 种 方法 把 明文 的 消息 伪装 或 变换 成 密 文 、 隐 藏 明文 真实 内 
容 的 过 程 称 为 加 密 ， 一 般 用 表示。 

4) 解密 ( Decryption)， 把 密 文 还 原 成 明文 真实 内 容 的 过 程 称 为 解密 ， 是 加 密 的 反 过 程 ， 
一 般 用 D 表示 。 

5) 密码 算法 (Algorithm) ， 是 加 密 和 解密 变换 的 一 些 公 式 、 法 则 或 程序 ， 多 数 情况 下 
是 一 些 数学 函数 。 加 密 时 使 用 的 算法 叫 加 密 算法 ; 解密 时 使 用 的 算法 叫 解密 算法 。 
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6) 密 钥 (Key) ， 是 进行 数据 加 蜜 或 解密 时 所 使 用 的 一 种 专门 信息 ， 一 般 用 K 表示。 加 
密 时 使 用 的 密 钥 为 加 密 密 钥 ; 解密 时 使 用 的 密 钥 为 解密 密 钥 。 

7) 密码 系统 ， 是 由 密码 算法 、 明 文 、 密 文 和 密 钥 组 成 的 可 加 密 、 解 密 信息 的 系统 。 

8) 密码 算法 的 安全 性 ， 根 据 被 破译 密码 的 难 易 程度 ， 不 同 的 密码 算法 可 有 不 同 的 安全 
等 级 ， 如 果 破 译 密码 算法 的 代价 大 于 加 密 数 据 的 实际 价值 ， 或 破译 密码 算法 需要 的 时 间 比 加 
密 数 据 保密 的 时 间 更 长 ， 则 可 以 认为 密码 算法 是 安全 的 。 举 例 说 ， 用 一 个 密码 算法 加 密 一 个 
价值 在 1 万 元 的 机 密 信息 只 需要 保密 1 个 月 的 时 间 便 失效 了 ,但 是 攻击 者 要 破译 这 个 密码 算 
法 ， 他 需要 花费 5 万 元 购买 计算 机 设备 或 软件 ， 而 且 需 要 花费 1 年 甚至 更 长 的 时 间 才 可 能 
译 ， 这 就 失去 了 破译 的 价值 。 


4.4.2 密码 体制 


1. 传统 密码 技术 

数据 的 表示 有 多 种 形式 ， 使 用 最 多 的 是 文字 ， 还 有 图 形 、 声 音 和 图 像 等 ， 这 些 信息 在 计 
算 机 系统 中 都 是 以 某 种 编码 的 方式 来 存储 的 。 传 统 密码 技术 的 主要 对 象 是 文字 书信 ， 其 内 容 
都 是 基于 某 个 字母 表 ， 如 标准 英文 字母 表 、 汉 语 拼音 表 。 而 现代 密码 技术 主要 是 应 用 于 所 有 
在 计算 机 系统 中 运用 的 数据 ， 具 体 是 以 二 进 制 数据 为 主 。 

传统 密码 技术 中 的 文字 信息 由 字母 表 中 的 一 个 个 字母 组 成 ,字母 表 可 以 按照 排列 顺序 进 
行 一 定 的 编码 ， 例 如 把 英文 字母 表 中 26 个 大 写字 母 用 数字 表示 ， 见 表 4-1。 

表 4-1 英文 字母 表 及 其 序号 


字母 A B C D E F G H I J K L M N 






















































































数字 1 2 3 4 5 6 7 8 9 10 11 12 13 14 
字母 0 P Q R S T U V Ww x Y Z 
数字 15 16 17 18 19 20 21 22 23 24 25 26 














大 多 数 加 密 算法 具有 数学 属性 ， 这 种 表示 方法 可 以 对 字母 进行 算术 运算 ,字母 的 加 减法 
将 形成 对 应 的 代数 码 。 如 果 把 字母 表 看 成 是 循环 的 ,那么 字符 的 运算 可 以 用 求 模 运算 
(mod) 来 表示 : 








c=x mod n 

在 标准 英语 字母 表 中 , n =26。 如 下 +3 =H 或 L-3=I， 若 采用 c= (x+5)mod n， 对 明 
文 COMPUTER 进行 加 密 ， 那 么 对 应 的 密 文 应 该 是 HTRUBYJW。 

传统 密码 技术 中 还 有 替代 密码 、 移 位 密码 、 一 次 一 密 钥 密码 等 ， 它 们 是 基于 分 组 替代 和 
置换 等 操作 、 简 单 的 加 模 运 算 等 ， 是 传统 的 密码 技术 。 

2. 对 称 密 钥 密码 体制 

对 称 密 钥 密码 体制 的 基本 思想 是 “加 密 密 钥 和 解密 密 钥 相同 或 者 从 其 中 一 个 很 容易 推 
导出 男 一 个 ”。 使 用 时 两 个 密 钥 均 需要 保密 ， 因 此 该 密码 体制 也 成 为 单 密 钥 密码 体制 或 私 钥 
密码 体制 ， 如 图 4-1 所 示 。 

对 称 密 钥 密码 体制 的 工作 流程 是 : 假定 A 和 B 是 通信 双方 的 实体 ， 两 者 之 间 的 通信 需 
要 保密 。 在 通信 之 前 ，A 和 B 协商 通过 某 种 方式 获得 一 个 双方 可 共用 的 秘密 密 钥 K， 这 个 密 
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钥 有 且 仅 有 A 和 B 知道 。 当 A 和 B 之 间 进 行 通信 时 ， 他们 利用 密 钥 K 对 通信 的 信息 进行 加 
密 ， 接 收 消息 的 一 方 利用 该 密 钥 解 密 信息 。 除 A 和 B 之 外 的 其 他 任何 用 户 因为 无 法 获得 密 
钥 K 而 无 法 解密 通信 信息 ， 从 而 达到 了 信息 传输 保密 的 目的 。 


加 密 (E) 和 -| 解密 (D) 人 
密 钥 K 


图 4-1 对 称 密 钥 密码 体制 示意 














典型 的 对 称 密 钥 密码 算法 有 DES 、TDEA 、IDEA 、AES 、MD5 、RC5 等 。 

3. 非 对 称 密 钥 密码 体制 

非 对 称 密 钥 密 码 体 制 的 基本 思想 是 “采用 两 个 不 同 的 密 钥 来 对 信息 进行 加 密 和 解密 ， 
并 且 从 其 中 一 个 很 难 推 导出 男 一 个 ”"。 其 中 一 个 密 钥 是 公开 的 ， 男 一 个 是 保密 的 。 因 此 ， 非 
对 称 密 钥 密码 体制 又 称 为 公开 密 钥 密码 体制 。 通 常 ， 在 这 种 密码 体制 中 ， 加 密 密 钥 是 公开 
的 ， 解密 密 钥 是 保密 的 ， 加 密 和 解密 的 算法 都 是 公开 的 ， 因 为 密码 系统 的 安全 性 往往 不 依赖 
于 对 算法 的 保密 而 是 依赖 于 对 密 钥 的 保密 。 虽 然 解密 密 钥 是 由 公开 密 钥 决 定 的 ， 而 且 加 密 密 
钥 是 公开 的 ， 但 是 要 从 公开 密 钥 中 推算 出 保密 的 解密 密 钥 是 非常 困难 的 ， 如 图 42 所 示 。 


加 二 id 


加 密 密 钥 Ke 解密 密 钥 Kd 
图 4-2 公开 密 钥 密码 体制 示意 图 














公开 密 钥 密 码 体制 的 工作 流程 是 : 假定 A 和 B 是 通信 双方 的 实体 ， 两 者 之 间 的 通信 需 
要 保密 。 在 通信 之 前 ，A 和 B 通过 公开 密 钥 算法 的 计算 分 别 独立 拥有 一 对 密 钥 : A 拥有 一 个 
公开 密 钥 和 一 个 私有 密 钥 ，B 也 拥有 一 个 公开 密 钥 和 一 个 私有 密 钥 ，A 和 B 分 别 将 自己 的 公 
开 密 钥 公布 出 去 而 将 自己 的 私有 密 钥 保 密 。 当 A 和 B 之 间 进 行 通信 和 时， 他们 分 别 利用 对 方 
的 公开 密 钥 对 通信 的 信息 进行 加 密 ， 接 收 消 息 的 一 方 利 用 自己 的 私有 密 钥 解 密 信息 。 因 为 A 
和 B 的 私有 密 钥 只 有 A 和 B 本 人 才能 拥有 ， 其 他 任何 用 户 因 为 无 法 获得 别人 的 私有 密 钥 ， 
因而 无 法 解密 通信 信息 ， 从 而 达到 了 信息 传输 保密 的 目的 。 

典型 的 公开 密 钥 密码 体制 的 算法 是 RSA。 

4. 混合 加 密 方法 

对 称 密 钥 密码 体制 的 特点 是 : 密码 算法 简单 ， 加 密 和 解密 的 速度 快 。 因 为 对 称 密 钥 密码 
体制 在 加 密 和 解密 时 使 用 同样 的 密 钥 ， 这 些 密 钥 需要 发 送 方 和 接收 方 分 别 保存 ， 当 通信 的 实 
体 数 增加 时 ， 密 钥 的 数量 急剧 增加 。 例 如 网 络 中 有 个 用 户 ,假设 每 两 用 户 之 间 需 要 进行 保 
密 通 信 ， 那 意味 着 每 两 个 用 户 之 间 需 要 拥有 一 个 共同 的 密 钥 ， 这 样 一 共 需 要 的 密 钥 总 数 达到 
了 za(z=-1)Z2 个 。 而 且 如 果 每 两 个 用 户 之 间 需 要 进行 多 次 通信 ， 每 次 通信 的 密 钥 需要 更 新 ， 
那么 系统 中 密 钥 的 数量 将 大 量 增 加 ， 这 使 得 密 钥 的 分 配 和 存储 变 得 十 分 困难 。 

与 对 称 密 钥 密码 体制 不 同 ， 公 开 密 钥 密 码 体制 密 钥 管理 方便 得 多 。 公 开 密 钥 体 制 要 求 通 
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信 实 体 自身 只 需要 拥有 一 个 公开 密 钥 和 一 个 私有 密 钥 组 成 的 密 钥 对 ， 每 一 个 通信 实体 将 公开 
密 钥 发 布 出 去 ， 对 于 通信 实体 本 里 而 言 ， 他 只 需要 严格 保密 自己 的 私有 密 钥 即 可 。 例 如 网 络 
中 并 个 用 户 之 间 的 保密 通信 ， 系 统 中 只 需要 保存 2n 个 密 钥 。 公 开 密 钥 密 码 体制 的 缺点 是 它 
的 运算 速度 赶不上 对 称 密 钥 密码 体制 ， 因 为 公开 密 钥 密码 体制 基于 最 复杂 的 数学 难题 ， 如 大 
整数 的 分 解 、 离 散 对 数 的 难 解 性 等 ,计算 非常 复杂 。 公 开 密 钥 密 码 体制 还 有 一 大 优点 是 利用 
它 可 以 实现 数字 签名 。 关 于 数字 签名 在 下 面 章节 将 进一步 介绍 。 

了 解 了 对 称 密 钥 密 码 体制 和 公开 和 密 钥 密码 体制 的 优 缺 点 之 后 ， 公 开 密 钥 密 码 体制 并 不 能 
完全 取代 对 称 密 钥 密 码 体制 。 在 实际 应 用 中 ， 通 常 采 用 的 方法 是 混合 加 蜜 方法， 将 对 称 密 铀 
密码 体制 和 公开 人 密 钥 密码 体制 的 优点 结合 起 来 ， 扬 长 避 短 。 通 常 的 方法 是 利用 对 称 密 钥 密码 
体制 算法 的 加 密 /解密 速度 快 的 优点 可 以 完成 对 大 批量 数据 的 加 密 ; 利用 公开 密 钥 密码 体制 
在 密 钥 管 理 上 的 优点 来 分 发 实现 保密 通信 的 秘密 密 钥 。 

混合 加 密 方法 的 基本 原理 是 : 首先 利用 公开 密 钥 密 码 体制 完成 两 个 通信 实体 之 间 保 密 通 
言 需要 使 用 的 对 称 秘密 密 钥 的 分 发 ; 当 两 个 通信 实体 得 到 秘密 密 钥 之 后 ， 便 可 以 实现 安全 的 
通信 。 如 图 4-3 所 示 ， 假 定 A 和 B 是 通信 双方 的 实体 ， 两 者 之 间 的 通信 需要 保密 。A 为 发 送 
端 ，B 为 接收 端 。 在 发 送 端 ，A 设计 好 与 B 实现 保密 通信 的 秘密 密 钥 KK， 首 先 用 B 的 公开 密 
钥 加 密 密 钥 发 送 给 B， 然 后 A 利用 秘密 密 钥 K 对 通信 的 数据 进行 加 密 ， 加 密 后 发 送 给 B。 
在 接收 端 ，B 首先 将 接收 到 的 秘密 消息 用 自己 的 私有 密 钥 解 密 ， 获 取 到 与 A 实现 保密 通信 使 
用 的 秘密 密 钥 K， 然 后 利用 密 钥 K 解密 A 发 送 来 的 大 量 的 通信 和 数据， 这 样 便 完成 了 A 和 B 
之 间 的 保密 通信 。 因 为 A 和 B 之 间 的 通信 数据 量 通 常 很 大 ， 用 对 称 密 钥 算法 加 密 、 解 密 速 
度 快 ， 不 会 影响 通信 的 效率 。 而 采用 公开 密 钥 密码 体制 完成 A 和 B 之 间 的 保密 通信 使 用 的 
秘密 密 钥 的 传输 ， 又 保证 了 通信 密 钥 的 安全 性 ， 特 别 是 当 有 多 个 用 户 之 间 需 要 同时 进行 保密 
通信 时 ， 采 用 公开 密 钥 密码 体制 的 优点 更 明显 。 
了 B 的 公 铀 































B 的 私 钥 








加 密 后 的 
加 密 对 称 密 钠 解密 
( 公 钥 算法 ) ( 公 铀 算法 ) 
原始 密 钥 K 
密 钥 K 
密 文 C 原始 明文 P 








加 密 
(对 称 算法 ) 


4.4.3 认证 技术 


认证 技术 是 网 络 安全 中 最 为 重要 的 技术 之 一 ， 可 以 防止 他 人 对 系统 进行 主动 攻击 ， 如 冒 
充 、 伪 造 、 算 改 等 。 认 证 技术 有 3 个 目的 : 

1) 验证 信息 的 发 送 者 是 真正 的 ， 而 不 是 冒充 的 。 

2) 验证 信息 在 传送 或 存储 过 程 中 未 被 算 改 、 重 放 或 延迟 等 。 

3) 验证 消息 的 不 可 否认 性 ， 即 防止 通信 双方 事后 否认 曾经 参与 过 某 次 活动 的 行为 。 

认证 技术 通常 包括 两 种 : 消息 鉴别 和 号 份 认 证 。 消 息 鉴 别 是 验证 消息 在 传送 或 存储 的 过 


注 
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坚 38 
(对 称 算法 ) 





图 4-3 ”两 种 密码 体制 的 混合 应 用 
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程 中 是 否 被 算 改 过 ， 判 别 消息 的 完整 性 和 真实 性 ; 身份 认证 是 核实 参与 者 的 真实 身份 。 传 统 
意义 下 的 消息 鉴别 和 身份 认证 可 以 通 过 签 章 等 方式 来 实现 ， 比 如 自然 人 和 法 人 的 确立 、 申 
报 、 登 记 、 注 册 ， 国 家 的 户籍 管理 ， 身 份 证 制度 以 及 西方 国家 应 用 个 人 唯一 的 社会 保险 号 码 
来 识别 人 ， 还 可 以 通过 法 律 对 人 的 行为 进行 公证 、 审 计 和 仲裁 等 。 但 是 进入 电子 信息 社会 
后 ， 传 统 的 方法 已 经 不 适用 了 。 现 代 的 数字 认证 技术 主要 是 基于 前 面 介绍 过 的 公开 密 钥 密码 
体制 等 密码 技术 来 实现 的 ， 利 用 它们 设计 出 的 数字 签名 、 身 份 认 证 协议 等 可 以 解决 电子 信息 























世界 中 的 号 份 认 证 难题 。 
1. 消息 认证 











消息 认证 主要 是 确认 被 传送 的 内 容 是 否 真 实 ， a a 人 

否 准确 收 到 。 消 息 认 证 的 内 容 包括 : 消息 的 来 源 地 是 否 正确 ; 消息 的 内 容 是 
曾 被 算 改 ;消息 的 序号 和 时 间 是 否 正确 。 

实现 消息 认证 的 方法 是 采用 一 种 消息 摘要 或 散 列 函数 的 密码 体制 。 消 息 摘要 算法 是 从 任 
意 大 小 的 消息 中 产生 固定 长 度 的 摘要 ， 这 个 摘要 称 为 消息 摘要 ， 它 作为 一 个 附件 连同 消息 一 
起 发 送 给 接收 者 。 接 收 者 在 接收 到 消息 后 ， 同 样 利用 消息 摘要 算法 从 该 消息 中 产生 一 个 消息 
摘要 ， 将 发 送 者 的 摘要 与 自己 产生 的 消息 摘要 进行 比较 ， 如 果 两 个 消息 摘要 完全 吻合 ， 则 证 
明 消 息 在 传送 过 程 中 没有 被 算 改 ; 如 果 不 吻合 ， 则 说 明 接 收 者 收 到 的 消息 不 是 发 送 者 发 送 的 
真实 消息 。 

消息 摘要 算法 利用 的 特性 是 迄今 没有 一 种 方法 能 找到 两 个 摘要 相同 的 消息 。 虽 然 摘 要 是 
从 消息 中 生成 的 ， 它 比 消息 要 小 得 多 , 但 是 在 很 多 方面 可 以 看 作 是 与 完整 消息 等 同 的 。 最 常 
用 的 消息 摘要 算法 叫做 MD5， 它 可 以 产生 一 个 128 位 长 度 的 摘要 。 在 实际 应 用 中 ， 消 息 摘 
要 往往 需要 一 定 的 保护 ， 以 免 遭 到 攻击 。 比 如 攻击 者 可 能 先 对 消息 内 容 进行 算 改 ,然后 从 修 
改过 的 消息 内 容 中 生成 一 个 摘要 作为 附件 连同 消息 一 起 发 送 给 接收 者 ， 这 样 接收 者 很 难 判断 
出 消息 不 是 原 定 的 发 送 者 发 出 的 。 解 决 这 一 问题 的 方法 是 : 发 送 者 在 生成 消息 摘要 后 ， 利 用 
接收 者 的 公 钥 对 消息 摘要 进行 加 密 ， 这 样 只 有 接收 者 才能 用 自己 的 私 钥 获 取消 息 摘 要 ， 防 止 
了 攻击 者 对 消息 摘要 的 主动 攻击 ， 确 保 了 消息 本 身 的 真实 性 和 完整 性 。 

2. 身份 认证 

身份 认证 可 以 定义 为 : 为 了 使 某 些 授予 许可 权限 的 权威 机 构 满意 ， 而 提供 所 要 求 的 用 户 
身份 验证 的 过 程 。 简 而 言 之 ， 身 份 认证 主要 是 对 通信 实体 的 真实 身份 的 核实 ， 一 般 涉 及 两 个 
过 程 : 识别 和 验证 。 

1) 识别 是 对 访问 者 身份 的 确认 ， ee 合法 用 户 具 有 识别 能 力 。 要 保证 识 
别 的 有 效 性 ， 必 须 保证 能 代表 用 户 身份 的 标识 符 的 唯一 性 。 识 别 信息 一 般 是 非 秘 密 的 ， 如 用 
户 信 用 卡号 码 、 用 户 名 、 身 份 证 号 等 。 

2) 验证 就 是 在 确认 访问 者 的 身份 以 后 ， 对 其 声明 的 身份 进行 验证 ， 以 防 冒 充 。 验 证 信 
息 一 般 是 秘密 的 ， 如 用 户 设置 的 口令 等 。 

在 大 多 数 系统 中 ， 用 户 在 他 们 被 允许 注册 之 前 必须 为 其 账号 指定 一 个 口令 ， 口 令 的 目的 
就 是 认证 该 用 户 就 是 他 声明 的 那个 人 ,口令 充当 了 认证 用 户 身 份 的 机 制 。 但 是 口令 很 容易 被 
窃取 、 污 露 或 者 破解 ， 单 纯 依 靠 口令 的 身份 认证 有 时 显得 单薄 无 力 。 于 是 人 们 又 开始 研究 了 
| 如 生物 特征 识别 技术 。 计 算 机 安全 系统 中 利用 生物 特征 识别 技术 

经 进行 了 大 量 的 研究 和 应 用 ， 如 指纹 识别 系统 、 掌 纹 识别 系统 。 生 物 特征 识别 技术 通常 是 
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站 某 些 对 人 而 言 是 唯一 的 特征 ， 其 中 包括 指纹 手印 、 声 音 图 像 、 笔 迹 甚 至 人 的 视网膜 血管 图 
像 。 这 些 生物 识别 技术 在 军事 、 和 警方 侦察 等 对 控制 访问 极为 严格 的 场合 ， 用 于 极为 仔细 地 辩 


别人 员 。 


4.4.4 ”PKI 技术 








PKI 是 “Public Key Infrastructure” 的 缩写 ， 意 为 “ 公 钥 基础 设施 ”。 简 单 地 说 ，PKI 技 
术 就 是 一 种 遵循 标准 的 利用 公 钥 加 密 技 术 为 电子 商务 的 开展 提供 一 套 安全 基础 平台 的 技术 和 
规范 。PKI 是 目前 网 络 安全 建设 的 基础 与 核心 ， 是 电子 商务 安全 实施 的 基本 保障 。 它 是 建立 
在 公 钥 密码 体制 上 的 信息 安全 基础 设施 ， 为 应 用 提供 身份 认证 、 加 密 、 数 字 签 名 、 时 间 惟 等 
安全 服务 。 

随 着 网 络 技术 和 信息 技术 的 发 展 ， 电 子 商务 已 逐步 被 人 们 所 接受 ， 并 在 不 断 普及 。 但 由 
于 各 种 原因 ， 国 内 电子 商务 的 安全 性 仍 不 能 得 到 有 效 的 保障 。 商 家 和 客户 通过 网 上 进行 电子 
商务 交易 时 ， 由 于 交易 双方 并 不 是 现场 交易 ， 因 此 ， 无 法 确认 双方 的 合法 身份 ， 同 时 交易 信 
息 是 交易 双方 的 商业 秘密 ， 在 网 上 传输 时 必须 保证 安全 性 ， 防 止 信息 被 田 取 。 双 方 的 交易 非 
现场 交易 ， 一 旦 发 生 纠纷 ， 必 须 能 够 提供 仲裁 。 在 电子 商务 中 ， 必 须 从 技术 上 保证 在 交易 过 
程 中 能 够 实现 身份 认证 、 安 全 传输 、 不 可 否认 性 、 数 据 完整 性 。PKI 就 是 为 了 解决 电子 商务 
安全 问题 而 提出 的 一 种 可 靠 的 技术 手段 。 它 文 持 加 密 传输 和 数字 签名 。PKI 已 广泛 用 于 保障 
电子 商务 的 安全 ， 客 户 可 利用 PKI 平台 提供 的 服务 进行 安全 通信 。 在 国内 外 电子 商务 中 ， 
PKI 得 到 了 广泛 的 应 用 。 

PKI 的 核心 部 件 是 数字 证 书 认证 中 心 ( Certificate Authority，CA) ， 它 的 主要 任务 是 数字 
证 书 、 证 书 废除 列表 CRL 的 签发 及 管理 。PKI 采用 证 书 进行 公 钥 管理 ， 通 过 第 三 方 的 可 信 
任 机 构 (认证 中 心 ， 即 CA) ， 把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 捆绑 在 一 起 ， 其 中 包括 
用 户 名 和 电子 邮件 地 址 等 信息 » 以 在 Internet 上 验证 用 户 的 身份 。 PKI 把 公 钥 密码 和 对 称 密 
码 结合 起 来 ， 在 mtemet 上 实现 密 钥 的 自动 管理 ， 保 证 网 上 数据 的 安全 传输 。 

因此 ， 从 大 的 方面 来 说 ， 所 有 提供 公 钥 加 密 和 数字 签名 服务 的 系统 ， 都 可 归结 为 PKI 系 
统 的 一 部 分 ，PKI 的 主要 目的 是 通过 自动 管理 密 钥 和 证 书 ， 为 用 户 建立 起 一 个 安全 的 网 络 运 
行 环境 ， 使 用 户 可 以 在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ， 从 而 保证 网 上 数据 
的 机 密 性 、 完 整 性 和 有 效 性 。 

PKI 作为 一 组 在 分 布 式 计算 系统 中 利用 公 钥 技术 和 X. 509 证 书 所 提供 的 安全 服务 ， 企 业 
或 组 织 可 利用 相关 产品 建立 安全 域 ， 并 在 其 中 发 布 密 钥 和 证 书 。 在 安全 域内 ，PKI 管理 加 密 
密 钥 和 证 书 的 发 布 ， 并 提供 诸如 密 钥 管理 (包括 密 钥 更 新 、 密 钥 恢 复 和 密 钥 委托 等 ) 、 证 书 
管理 (包括 证 书 产 生 和 撤销 等 ) 和 策略 管理 等 功能 。PKI 产品 也 允许 一 个 组 织 通过 证 书 级 别 
或 直接 交叉 认证 等 方式 来 同 其 他 安全 域 建 立信 任 关 系 。 这 些 服 务 和 信任 关系 不 能 局 限于 独立 
的 网 络 之 内 ， 而 应 建立 在 网 络 之 间 和 Internet 之 上 ， 为 电子 商务 和 网 络 通 信 提 供 安全 保障 ， 
所 以 具有 互 操 作 性 的 结构 化 和 标准 化 技术 成 为 PKI 的 核心 。 

PKI 在 实际 应 用 上 是 一 套 软 硬 件 系统 和 安全 策略 的 集合 ， 它 提供 了 一 整套 安全 机 制 ， 使 
用 户 在 不 知道 对 方 身份 或 分 布地 很 广 的 情况 下 ， 以 证 书 为 基础 ， 通 过 一 系列 的 信任 关系 进行 
通信 和 电子 商务 交易 。 

一 个 典型 的 PKI 系统 如 图 44 所 示 ， 其 中 包括 PKI 策略 、 软 硬件 系统 、 证 书 机 构 CA、 
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图 44 PKI 系统 





PKI 安全 策略 建立 和 定义 了 一 个 组 织 信息 安全 方面 的 指导 方针 ， 同 时 也 定义 了 密码 系统 
使 用 的 处 理 方法 和 原则 。 它 包括 一 个 组 织 怎样 处 理 密 钥 和 有 价值 的 信息 ， 根 据 风险 的 级 别 定 
义 安 全 控制 的 级 别 。 一 般 情 况 下 ， 在 PKI 中 有 两 种 类 型 的 策略 : 一 是 证 书 人 策略 ， 用 于 管理 证 
书 的 使 用 ， 比 如 ， 可 以 确认 某 一 CA 是 在 Internet 上 的 公有 CA， 还 是 某 一 企业 内 部 的 私有 
CA; 另外 一 个 就 是 CPS ( Certificate Practice Statement ) 一些 由 商业 证 书 发 放 机 构 (CCA) 
或 者 可 信 的 第 三 方 操作 的 PKI 系统 需要 CPS。 这 是 一 个 包含 如 何在 实践 中 增强 和 支持 安全 策 
略 的 一 些 操 作 过 程 的 详细 文档 。 它 包括 CA 是 如 何 建 立 和 运作 的 ， 证 书 是 如 何 发 行 、 接 收 和 
废除 的 ， 密 钥 是 如 何 产 生 、 注 册 的 ， 以 及 密 钥 是 如 何 存储 的 ， 用 户 是 如 何 得 到 它 的 ， 等 等 。 
证 书 机 构 CA 是 PKI 的 信任 基础 ， 它 管理 公 钥 的 整个 生命 周期 ， 其 作用 包括 : 发 放 证 书 、 规 
定 证 书 的 有 效 期 和 通过 发 布 证 书 废除 列表 (CRL) 确保 必要 时 可 以 废除 证 书 。 

注册 机 构 RA 提供 用 户 和 CA 之 间 的 一 个 接口 ， 它 获取 并 认证 用 户 的 身份 ， 向 CA 提出 
证 书 请 求 。 它 主要 完成 收集 用 户 信息 和 确认 用 户 身 份 的 功能 。 这 里 指 的 用 户 ， 是 将 要 癌 认证 
中 心 ( 即 CA) 申请 数字 证 书 的 客户 ， 可 以 是 个 人 ， 也 可 以 是 集团 或 团体 、 某 政府 机 构 等 。 
注册 管理 一 般 由 一 个 独立 的 注册 机 构 ( 即 RA) 来 承担 。 它 接受 用 户 的 注册 申请 ， 审 查 用 户 
的 申请 资格 ， 并 决定 是 否 同意 CA 给 其 签发 数字 证 书 。 注 册 机 构 并 不 给 用 户 签发 证 书 ， 而 只 
是 对 用 户 进行 资格 审查 。 因 此 ，RA 可 以 设置 在 直接 面 对 客 户 的 业务 部 门 ， 如 银行 的 营业 
部 、 机 构 认 证 部 门 等 。 当 然 ， 对 于 一 个 规模 较 小 的 PKI 应 用 系统 来 说 ， 可 将 注册 管理 的 职能 
由 认证 中 心 CA 来 完成 ， 而 不 设立 独立 运行 的 RA。 但 这 并 不 是 取消 了 PKI 的 注册 功能 ， 而 
只 是 将 其 作为 CA 的 一 项 功能 而 已 。PKI 国际 标准 推荐 由 一 个 独立 的 RA 来 完成 注册 管理 的 
任务 ， 可 以 增强 应 用 系统 的 安全 性 。 

证 书 发 布 系 统 负 责 证 书 的 发 放 ， 如 可 以 通过 用 户 自己 ,或 是 通过 目录 服务 器 。 目 录 服 务 
器 可 以 是 一 个 组 织 中 现存 的 ， 也 可 以 是 PKI 方 案 中 提供 的 。 

PKI 的 应 用 非常 广泛 ,包括 在 Web 服务 器 和 浏览 器 之 间 的 通信 、 电 子 邮件 、 电 子 数据 
交换 (EDI) 、 在 Intermet 上 的 信用 卡 交 易 和 虚拟 私有 网 (VPN) 等 。 
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4.5 虚拟 专用 网 络 


4. 5.1 VPN 的 基本 概念 


虚拟 专用 网 (Virtual Private Network ，VPN) 是 随 着 Internet 的 发 展 而 迅速 发 展 起 来 的 一 
种 网 络 应 用 新 技术 。 在 现实 世界 中 ， 有 这 样 的 企业 或 公司 ， 在 全 国 或 全 世界 都 有 自己 的 分 公 
司 ， 除 了 公司 总 部 有 自己 的 园区 网 络 ， 每 一 个 分 公司 分 布 在 各 地 都 有 内 部 的 园区 网 络 ; 还 有 
大 量 的 员工 在 外 地 旅行 出 差 或 者 偶尔 在 家 办 公 ， 需 要 紧急 访问 公司 内 部 网 络 进行 办 公 。 以 
往 ， 连 接 总 部 LAN 和 分 布 在 各 地 的 分 公司 LAN 时 ， 要 利用 公 网 WAN 提供 的 专线 (如 DDN、 
帧 中 继 、ISDN 等 ) 但 是 费用 较 高 ， 而 且 这 种 技术 不 能 满足 高 速率 访问 内 部 资源 的 要 求 。 实 
际 上 ， 公 司 总 部 至 各 个 分 公司 的 网 络 都 是 相互 隔离 的 ， 只 能 通过 Internet 连接 在 一 起 ， 但 是 
它们 不 能 构成 一 个 真正 的 内 部 网 络 。VPN 正 是 为 了 解决 这 样 的 一 个 问题 而 产生 的 ， 利 用 
VPN 能 把 公司 总 部 和 分 散在 各 地 的 分 公司 及 业务 点 进行 互联 。 在 经 济 全 球 化 的 今天 ， 内 部 
网 的 网 点 还 将 延伸 到 海外 。 内 部 网 的 广 域 化 成 为 网 络 发 展 的 必然 趋势 。VPN 可 使 本 单位 的 
在 外 人 员 像 在 自己 的 办 公 室 一 样 方便 地 使 用 内 部 网 。 

VPN 被 定义 为 通过 一 个 公共 网 络 (通常 是 因特网 ) 建立 一 个 临时 的 、 安 全 的 连接 ， 是 
一 条 穿 过 混乱 的 公共 网 络 的 安全 、 稳 定 的 隧道 。VPN 是 对 企业 内 部 网 的 扩展 。VPN 可 以 帮 
助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 络 建 立 可 信 的 安全 连接 ， 并 
保证 数据 的 安全 传输 。 通 过 将 数据 流转 移 到 低 成 本 的 网 络 上 ， 一 个 企业 的 虚拟 专用 网 解决 方 
案 也 将 大 幅度 地 减少 用 户 花 费 在 城 域 网 和 远程 网 络 连 接 上 的 费用 。 同 时 ， 这 将 简化 网 络 的 设 
计 和 管理 ， 加 速 连接 新 的 用 户 和 网 站 。 男 外 ， 虚 拟 专用 网 还 可 以 保护 现 有 的 网 络 投资 。 随 着 
用 户 的 商业 服务 不 断 发 展 ， 企 业 的 虚拟 专用 网 解决 方案 可 以 使 用 户 将 精力 集中 到 自己 的 生意 
上 ， 而 不 是 网 络 上 。 虚 拟 专用 网 可 用 于 不 断 增长 的 移动 用 户 的 全 球 因特网 接 入 ， 以 实现 安全 
连接 ; 可 用 于 实现 企业 网 站 之 间 安 全 通信 的 虚拟 专用 线路 ， 用 于 连接 到 商业 伙伴 和 用 户 的 安 
全 网 络 。 其 应 用 效果 如 图 4-5 所 示 ， 一 个 典型 的 VPN 可 能 包括 公司 总 部 的 局 域 网 、 远 程 分 
公司 或 分 文 机 构 的 其 他 局 域 网 以 及 从 网 络 外 部 连接 进来 的 个 人 用 户 。 

VPN 可 以 提供 功能 认证 、 加 密 、 隧 道 化 服务 。VPN 可 以 通过 特殊 加 密 的 通信 协议 连接 
到 Internet 上 ， 在 位 于 不 同 地 方 的 两 个 或 多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ， 就 
好 比 是 架设 了 一 条 专线 一 样 ， 但 是 它 并 不 需要 真正 地 去 铺设 光 统 之 类 的 物理 线路 。 总 之 ， 
VPN 的 核心 就 是 在 利用 公共 网 络 建立 虚拟 私有 网 。 


4. 5. 2 VPN 的 工作 原理 


如 何 通过 Internet 建立 一 个 虚拟 的 专用 网 络 ? 这 里 面 要 解决 的 技术 问题 主要 有 加 密 、 认 
证 和 隧道 技术 。 最 重要 的 就 是 隧道 技术 。 隧 道 技术 是 VPN 的 基本 技术 ， 类 似 于 点 对 点 连接 
技术 ， 它 在 公用 网 建立 一 条 数据 通道 〈 隧 道 ) ， 让 数据 包 通 过 这 条 隧道 传输 。 隧 道 是 由 隧道 
协议 形成 的 ， 分 为 第 二 、 三 层 隧道 协议 。 第 二 层 隧 道 协议 是 先 把 各 种 网 络 协议 封装 到 PPP 
中 ， 再 把 整个 数据 包装 和 人 隧道 协议 中 。 这 种 双 层 封 装 方法 形成 的 数据 包 靠 第 二 层 协议 进行 传 
输 。 第 二 层 隧道 协议 有 L2F、PPTP、L2TP 等 。L2TP 协议 是 目前 IETF 的 标准 ， 由 IETF 融合 
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PPTP 与 L2F 而 形成 。VPN 提供 了 一 个 隧道 ， 使 得 在 网 络 上 传输 的 数据 包 是 经 过 加 密 处 理 
的 ， 将 数据 包 封 法 成 IP 包 的 形式 ， 通过 隧道 在 网 上 传输 ， 如 图 4-6 所 示 。 
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图 4-5 一 个 典型 的 VPN 应 用 


VPN 设 备 





解密 后 的 
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加 密 后 的 数据 包 
图 4-6 ”VPN 的 工作 原理 图 


4.5.3 VPN 的 关键 技术 和 主要 协议 


1. 实现 VPN 的 关键 技术 

(1) 隧道 技术 

隧道 技术 (Tunneling) 是 VPN 的 底层 文 撑 技 术 ， 所 谓 隧 道 ， 实 际 上 是 一 种 封装 ， 就 是 
将 一 种 协议 (协议 X) 封装 在 另 一 种 协议 〈 协 议 Y) 中 传输 ， 从 而 实现 协议 X 对 公用 网 络 
的 透明 性 。 这 里 协议 X 被 称 为 被 封装 协议 ， 协 议 Y 被 称 为 封装 协议 ， 封 装 时 一 般 还 要 加 上 
特定 的 隧道 控制 信息 ， 因 此 隧道 协议 的 一 般 形式 为 ( (协议 Y) 隧道 头 〈 协 议 X) ) 。 在 公用 
网 络 (一 般 指 因特网 ) 上 传输 的 过 程 中 ， 只 有 VPN 端口 或 网 关 的 IP 地 址 暴露 在 外 边 。 

隧道 解决 了 专 网 与 公 网 的 兼容 问题 ， 其 优点 是 能 够 隐藏 发 送 者 、 接 收 者 的 卫 地 址 以 及 
其 他 协议 信息 。VPN 采用 隧道 技术 向 用 户 提供 了 无 颖 的 、 安 全 的 、 端 到 端的 连接 服务 ， 以 





110 


第 4 章 ， 网 络 安全 技术 “4 


确保 信息 资源 的 安全 。 

隧道 是 由 隧道 协议 形成 的 。 隧 道 协议 分 为 第 二 、 第 三 层 隧道 协议 ， 第 二 层 隧道 协议 如 
L2TP、PPTP、L2F 等 ， 它 们 工作 在 0SI 体系 结构 的 第 二 层 〈 即 数据 链 路 层 ) ; 第 三 层 隧道 协 
议 如 IPSec、GCRE 等 ， 它 们 工作 在 0SI 体系 结构 的 第 三 层 〈 即 网 络 层 ) 。 第 二 层 隧道 和 第 三 
层 隧道 的 本 质 区 别 在 于 : 用 户 的 了 下 数据 包 被 封装 在 不 同 的 数据 包 中 在 隧道 中 传输 。 

第 二 层 隧 道 协议 是 建立 在 点 对 点 协议 PPP 的 基础 上 ， 充 分 利用 PPP 协议 支持 多 协议 的 
特点 ， 先 把 各 种 网 络 协议 〈 如 卫 、IPX 等 ) 封装 到 PPP 帧 中 ， 再 把 整个 数据 包装 入 隧道 协 
议 。PPTP 和 L2TP 协议 主要 用 于 远程 访问 虚拟 专用 网 。 

第 三 层 隧道 协议 是 把 各 种 网 络 协议 直接 装 入 隧道 协议 中 ， 形 成 的 数据 包 依 靠 网 络 层 协议 
进行 传输 。 无 论 在 可 扩充 性 ， 还 是 安全 性 、 可 靠 性 方面 ， 第 三 层 隧 道 协 议 均 优 于 第 二 层 隧道 
协议 。IPSec 即 IP 安全 协议 是 目前 实现 VPN 功能 的 最 佳 选择 。 

(2) 密码 技术 与 认证 技术 

密码 技术 是 VPN 的 男 一 核心 技术 。 为 了 保证 数据 在 传输 过 程 中 ， 不 被 非法 的 用 户 锚 取 
或 自 改 , 一般 都 在 传输 之 前 进行 加 密 ， 在 接收 方 再 对 其 进行 解密 。VPN 大 都 采用 单 钥 的 
DES 和 3DES 作为 加 解密 的 主要 技术 ， 而 以 公 钥 和 单 钥 的 混合 加 密 体 制 ( 即 加 解密 采用 单 钥 
密码 ， 而 密 钥 传 送 采 用 双 钥 密码 ) 来 进行 网 络 上 密 钥 交换 和 管理 ， 不 但 提高 了 传输 速度 ， 
还 具有 良好 的 保密 功能 。 认 证 技术 可 以 防止 来 自 第 三 方 的 主动 攻击 。 一 般 用 户 和 设备 双方 在 
交换 数据 之 前 ， 先 核对 证 书 ， 如 果 准 确 无 误 ， 双 方才 开始 交换 数据 。 用 户 身 份 认证 最 常用 的 
技术 是 用 户 名 和 密码 方式 。 而 设备 认证 则 需要 依赖 由 CA 所 颁发 的 电子 证 书 。 

目前 主要 的 认证 方式 有 : 简单 口令 如 质询 握手 验证 协议 CHAP 和 密码 身份 验证 协议 PAP 
等 ; 动态 口令 如 动态 令 牌 和 X. 509 数字 证 书 等 。 简 单口 令 认 证 方式 的 优点 是 实施 简单 、 技 
术 成 熟 、 互 操作 性 好 ， 且 支持 动态 地 加 载 VPN 设备 ， 可 扩展 性 强 。 

(3) 密 钥 管理 技术 

密 钥 管理 的 主要 任务 就 是 保证 在 开放 的 网 络 环境 中 安全 地 传递 密 钥 ， 而 不 被 历 取 。 目 前 
密 钥 管理 的 协议 包括 ISAKMP、SKIP、MKMP 等 。Internet 密 钥 交换 协议 (Internet Key 
Exchange，IKE) 使 用 Pnternet 安全 关联 和 密 钥 管理 协议 (Internet Security Association Key 
Management Protocol ，ISAKMP) 来 定义 密 钥 的 交换 ， 综合 了 Oakley 和 SKEME 密 钥 交换 方 
案 ， 通过 协商 安全 策略 ， 形 成 各 自 的 验证 加 密 参 数 。IKE 交换 的 最 终 目 的 是 提供 一 个 通过 验 
证 的 密 钥 以 及 建立 在 双方 同意 的 基础 上 的 安全 服务 。 

IKE 协议 是 目前 首选 的 密 钥 管理 标准 ， 较 SKIP 而 言 ， 其 主要 优势 在 于 定义 更 灵活 ， 能 
适应 不 同 的 加 密 密 钥 。IKE 协议 的 缺点 是 它 虽 然 提 供 了 强大 的 主机 级 身份 认证 ， 但 同时 却 只 
能 支持 有 限 的 用 户 级 身份 认证 ， 并 且 不 支持 非 对 称 的 用 户 认 证 。 

(4) 访问 控制 技术 

虚拟 专用 网 的 基本 功能 就 是 不 同 的 用 户 对 不 同 的 主机 或 服务 器 的 访问 权限 是 不 一 样 的 。 
由 VPN 服务 的 提供 者 与 最 终 网 络 信息 资源 的 提供 者 共同 来 协商 确定 特定 用 户 对 特定 资源 的 
访问 权限 ， 以 此 实现 基于 用 户 的 细 粒 度 访问 控制 ， 以 实现 对 信息 资源 的 最 大 限度 的 保护 。 

访问 控制 策略 可 以 细 分 为 选择 性 访问 控制 和 强制 性 访问 控制 。 选 择 性 访问 控制 是 基于 主 
体 或 主体 所 在 组 的 身份 ， 一 般 被 内 置 于 许多 操作 系统 当中 。 强 制 性 访问 控制 是 基于 被 访问 信 
息 的 敏感 性 。 
































111 


[大 型 园区 网 络 建设 与 管理 








2. VPN 实现 的 主要 安全 协议 

VPN 区 别 于 一 般 网 络 互 联 的 关键 是 隧道 的 建立 ， 数 据 包 经 过 加 密 后 ， 按 隧道 协议 进行 
封装 、 传 送 以 保证 安全 性 。 一 般 ， 在 数据 链 路 层 实现 数据 封装 的 协议 叫 第 二 层 隧 道 协议 ， 常 
用 的 有 PPTP、L2TP 等 ; 在 网 络 层 实现 数据 封装 的 协议 叫 第 三 层 隧道 协议 ， 如 IPSec。 另 外 ， 
SOCKSv5 协议 则 在 TCP 层 实现 数据 安全 。 

(1) PPTP/L2TP 

1996 年 Microsoft 和 Ascend 等 在 PPP 协议 的 基础 上 开发 了 PPTP， 它 集成 于 Windows NT 
Server4.0 中 ，Windows NT Workstation 和 Windows 9. X 也 提供 相应 的 客户 端 软 件 。PPP 支持 
多 种 网 络 协议 ,可 把 IP 、IPX、AppleTalk 或 NetBEUI 的 数据 包 封 装 在 PPP 包 中 ， 再 将 整个 
报 文 封装 在 PPTP 隧道 协议 包 中 ， 最 后 ， 再 能 入 IP 报 文 或 帧 中 继 或 ATM 中 进行 传输 。PPTP 
提供 流量 控制 ,减少 拥塞 的 可 能 性 ， 避 人 免 由 于 包 丢 弃 而 引发 包 重 传 。PPTP 的 加 密 方法 是 采 
用 Microsoft 点 对 点 加 密 (MPPE: Microsoft Point-to-Point) 算法 ， 可 以 选用 较 弱 的 40 位 密 钥 
或 强度 较 大 的 128 位 密 钥 。1996 年 ，Cisco 提出 L2F (Layer 2 Forwarding) 隧道 协议 ， 它 也 
文 持 多 协议 ， 但 其 主要 用 于 Cisco 的 路 由 器 和 拨号 访问 服务 器 。1997 年 底 ，Microsoft 和 Cisco 
公司 把 PPTP 协议 和 L2F 协议 的 优点 结合 在 一 起 ， 形 成 了 L2TP 协议 。L2TP 支持 多 协议 ， 利 
用 公共 网 络 封 效 PPP 帧 ， 可 以 实现 和 企业 原 有 非 IP 网 的 兼容 。 还 继承 了 PPTP 的 流量 控制 ， 
文 持 MP (Multilink Protocol) ， 把 多 个 物理 通道 捆绑 为 单一 逻辑 信道 。L2TP 使 用 PPP 可 靠 性 
发 送 (RFC 1663) 实现 数据 包 的 可 靠 发 送 。L2TP 隧道 在 两 端的 VPN 服务 器 之 间 采 用 口令 握 
手 协议 CHAP 来 验证 对 方 的 身份 。L2TP 受到 了 许多 大 公司 的 支持 。 

PPTPZL2TP 协议 的 优点 : PPTPZL2TP 对 用 微软 操作 系统 的 用 户 来 说 很 方便 ， 因 为 微软 
已 把 它 作 为 路 由 软件 的 一 部 分 。PPTPAL2TP 支持 其 他 网 络 协 议 。 如 NOWELL 的 IPX、NET- 
BEUI 和 APPLETALK 协议 ,还 支持 流量 控制 。 它 通过 减少 丢弃 包 来 改善 网 络 性 能 ， 这 样 可 
减少 重 传 。 

PPTPZL2TP 协议 的 缺点 : PM 和 L2TP 将 不 安全 的 IP 包 封 装 在 安全 的 IP 包 内 ,它们 用 
IP 帧 在 两 台 计 算 机 之 间 创 建 和 打开 数据 通道 ， 一 旦 通道 打开 , 源 和 目的 用 户 里 份 就 不 再 需 
要 ， 这 样 可 能 会 带 来 问题 ， 它 不 对 两 个 节点 间 的 信息 传输 进行 监视 或 控制 。PPTP 和 L2TP 
限制 同时 最 多 只 能 连接 255 个 用 户 ， 端 点 用 户 需 要 在 连接 前 手工 建立 加 密 信 道 ， 认 证 和 加 密 
受到 限制 ， 没有 强加 密 和 认证 支持 。PPTPAL2TP 最 适合 于 远程 访问 VPN。 

(2) IPSec 协议 

IPSec 是 IETF (Internet Engineer Task Force) 正在 完善 的 安全 标准 ， 它 把 几 种 安全 技术 
结合 在 一 起 形成 一 个 较为 完整 的 体系 ， 受到 了 众多 厂商 的 关注 和 支持 。 通 过 对 数据 加 密 、 认 
证 、 完 整 性 检查 来 保证 数据 传输 的 可 靠 性 、 私 有 性 和 保密 性 。IPSec 由 IP 认证 头 AH (Au- 
thentication Header) 、 卫 安全 载 集 封 载 ESP (Encapsulated Security Payload) 和 密 钥 管理 协议 
组 成 。 

IPSece 协议 是 一 个 范围 广泛 、 开 放 的 虚拟 专用 网 安全 协议 。IPSee 适应 向 IPv6 迁移 ， 它 
提供 所 有 在 网 络 层 上 的 数据 保护 ， 提 供 透 明 的 安全 通信 。IPSsee 用 密码 技术 从 认证 、 完 整 性 
检查 和 加 密 3 个 方面 来 保证 数据 的 安全 。 

IPSece 协议 可 以 设置 成 在 两 种 模式 下 运行 : 一 种 是 隧道 模式 ; 一 种 是 传输 模式 。 在 隧道 
模式 下 ，IPSec 把 IPv4 数据 包 封装 在 安全 的 IP 帧 中 ， 这 样 可 确保 从 一 个 防火 墙 到 另 一 个 防 
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火 墙 时 的 安全 性 。 在 隧道 模式 下 ， 信 息 封闭 是 为 了 保护 端 到 端的 安全 性 ， 即 在 这 种 模式 下 不 
会 隐藏 路 由 信息 。 隧 道 模式 是 最 安全 的 ， 但 会 带 来 较 大 的 系统 开销 。IPSee 现在 还 不 完全 成 
熟 ， 但 它 得 到 了 一 些 路 由 器 广 商 和 硬件 厂商 的 大 力 文 持 。 预 计 它 今后 将 成 为 虚拟 专用 网 的 主 
要 标准 。IPSec 有 扩展 能 力 以 适应 未 来 商业 的 需要 。 在 1997 年 底 ， 正 TF 安全 工作 组 完成 了 
IPSec 的 扩展 ， 在 IPSece 协议 中 加 上 ISAKMP 协议 ， 其 中 还 包括 一 个 密 钥 分 配 协议 Oakley。 
ISAKMP/Oakley 文 持 自动 建立 加 密 信道 、 密 钥 的 自动 安全 分 发 和 更 新 。IPSec 也 可 用 于 连接 
其 他 层 已 存在 的 通信 协议 ， 如 支持 安全 电子 交易 (Secure Electronic Transaction，SET) 协议 
和 SSL (Secure Socket layer) 协议 。 即 使 不 用 SET 或 SSL，IPSec 都 能 提供 认证 和 加 密 手 段 以 
保证 信息 的 安全 传输 。 


4.5.4 VPN 常见 的 三 种 组 网 类 型 


1. 基于 内 部 网 (Intranet) 的 VPN 
如 果 公 司 有 一 个 或 多 个 远程 位 置 想 要 加 入 到 一 个 专用 网 络 中 ， 他 们 可 以 建立 一 个 内 部 网 

















VPN， 以 便 将 局 域 网 (LAN) 连接 到 另 一 加 密 信道 
一 个 局 域 网 。 内 部 网 是 通过 公共 网 络 将 YEN 服 务 器 VPN 服 务 器 
某 一 个 组 织 的 各 个 分 支 机 构 的 局 域 网 联 | 日 

结 而 成 的 网 络 。 这 种 类 型 的 局 域 网 到 局 。 并 一 售 一 WO— 1 

域 网 的 联结 所 带 来 的 风险 最 小 ， 因 为 公 和 

司 通常 认为 他 们 的 分 支 机 构 是 可 信 的 ， 认证 











用 这 种 方式 联结 而 成 的 网 络 被 称 为 In- 
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manet， 可 看 作 是 公司 网 络 的 扩展 。 当 鼎 上 上 
一 个 数据 传输 通道 的 两 个 端点 被 认为 是 一 当时 wk 
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可 信 的 时 候 ， 可 以 选择 内 部 网 VPN 解 
决 方案 。 其 安全 性 主要 在 于 加 强 两 个 图 4.7 ”基于 内 部 网 的 VPN 

VPN 服务 硕 之 间 加 密 和 认证 的 手段 。 

基于 内 部 网 的 VPN 如 图 4-7 所 示 。 

2. 基于 外 联网 (Extranet) 的 VPN 

如 果 公 司 同 其 他 公司 (例如 合作 伙伴 、 供 应 商 或 客户 ) 的 关系 紧密 ， 他 们 可 以 建立 一 
个 外 联网 VPN， 以 便 将 局 域 网 连接 到 男 一 个 局 域 网 ， 同 时 让 所 有 公司 都 能 在 一 个 共享 环境 中 
工作 。 外 联网 VPN 为 公司 商业 伙伴 、 客 户 和 在 远 地 的 雇员 提供 安全 性 保护 。 外 联网 VPN 的 主 
要 目标 是 保证 数据 在 传输 过 程 中 不 被 修改 ， 保 护 网 络 资源 不 受 外 部 威胁 ， 如 图 4-8 所 示 。 

外 联网 VPN 应 是 一 个 由 加 密 、 认 证 和 访问 控制 功能 组 成 的 集成 系统 。 通 常 将 公司 的 
VPN 代理 服务 器 放 在 一 个 不 能 穿 透 的 防火 墙 之 后 ， 防 火 墙 阻止 来 历 不 明 的 信息 传输 。 所 有 
经 过 过 滤 的 数据 通过 一 个 唯一 的 人 口传 到 VPN 服务 器 ，VPN 再 根据 安全 策略 进一步 过 滤 。 

3. 远程 访问 VPN 

典型 的 远程 访问 VPN 是 用 户 通过 本 地 的 信息 提供 商 (ISP) 登录 到 Internet 上 ， 并 在 现 
在 的 办 公 室 和 公司 内 部 网 之 间 建 立 一 条 加 密 通 道 。 有 和 较 高 安全 度 的 远程 访问 VPN 应 能 截获 
特定 主机 的 信息 流 ， 有 加 密 、 身 份 认证 和 过 滤 等 功能 。 这 是 VPN 中 最 为 常见 的 一 种 应 用 类 
型 ， 如 图 4-9 所 示 。 
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图 4-8 基于 外 联网 的 VPN 
mm 加 密 信道 


) Ee 
口 Internet , 





移动 用 户 


乙 产 己 恒 证 


图 4-9 ”远程 访问 VPN 
4. 5.5 ”VPN 解决 方案 


1.IPSec VPN 解决 方案 

IPSec 基于 一 组 开放 的 网 络 安全 协议 ， 业 务 数据 流通 过 IPSec 加 密 ，IPSec 能 够 提供 服务 
器 及 客户 端的 双向 身份 认证 ， 并 且 为 卫 及 其 上 层 业 务 数据 提供 安全 加 密 保 护 ， 能 够 支持 数 
据 加 密 (包括 常见 的 DES\ 3DES\ AES 加 密 算法 ) 、 数 据 完 整 性 验证 、 数 据 身 份 验证 以 及 防 
重 放 等 功能 ， 充 分 保证 了 业务 数据 的 安全 性 。IPSec VPN 利用 Internet 构建 三 层 隧道 VPN 的 
方式 ， 可 以 允许 用 户 以 任意 方式 接 入 VPN， 并 且 不 受 地 理 因素 的 限制 ， 无 论 用 户 在 外 地 或 
国外 ， 只 需要 从 当地 接 入 Internet 即 可 。IPSec VPN 不 仅 适 用 于 SOHO 用 户 或 移动 办 公用 户 
接 人 ， 而 且 适 用 于 企业 分 支 机 构 之 间 的 互 连 互 通 。 正 因为 IPSec VPN 具有 其 他 VPN 不 可 替 
代 的 业务 优势 ， 在 VPN 业务 较为 普及 的 国外 一 些 国家 得 到 了 比较 普遍 的 应 用 。 

本 节 以 杭州 华 三 通信 (H3C) 公司 推出 的 IPSec VPN 典型 解决 方案 为 例 ， 描 述 实 际 使 用 
的 IPSec VPN 的 组 网 方案 。H3C 公司 提供 了 一 种 单 链 路 网 关 VPN 组 网 方案 ， 组 网 主要 是 面 
回 部 分 小 型 的 分 支 机 构 ， 分 支 用 户 对 于 网 络 的 链 路 要 求 不 高 ， 普 通 的 ADSL 线路 就 可 以 满足 
基本 使 用 要 求 ; 用 户 也 可 以 通过 局 域 网 接 入 ; 对 于 服务 器 部 分 ， 可 以 只 考虑 使 用 单 台 的 设备 
来 进行 连接 。VPN 客户 端 设 备 可 以 采用 静态 或 动态 申请 的 IP 地 址 和 总 部 网 关 建 立 VPN 链 
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接 。 根 据 其 业务 的 需求 ， 对 可 靠 性 的 要 求 不 高 ， 数 据 的 传输 不 讲究 实时 传输 。 有 必要 的 话 ， 
可 以 在 分 支 节点 用 设备 进行 冷 备 份 。 其 组 网 方式 如 图 4-10 所 示 。 








VPN Client 


企业 网 络 





VPN Manager 


VPN Client CAMS/Radius 


Mail 服 务 器 
OA 空调 服务 器 


图 4-10 IPSec VPN 组 网 方式 


它 的 部 署 方式 及 特点 如 下 : 

1) VPN 接 入 网 关子 系统 部 署 : 在 总 部 局 域 网 Internet 边界 防火 墙 后 面 配置 一 台 专 用 的 
高 性 能 的 VPN 网 关 ， 在 分 支 机 构 Internet 边界 防火 墙 后 面 配置 一 台 专 用 VPN 网 关 ， 由 此 两 
端的 VPN 网 关 建 立 IPSec VPN 隧道 ， 进 行 数据 封装 、 加 密 和 传输 。 

2) VPN 管理 子 系统 部 署 : 在 总 部 局 域 网 数据 中 心 部 署 H3C QuidView VPN Manager 组 
件 ， 实 现 对 VPN 网 关 的 部 署 管理 和 监控 ; 在 总 部 局 域 网 内 部 或 Internet 边界 部 署 H3C Quid- 
View BIMS 系统 ， 实 现 对 分 支 机 构 VPN 网 关 设 备 的 自动 配置 和 策略 部 署 。 

3) 强大 的 VPN 处 理性 能 ， 高 端 专用 VPN 网 关 通 过 专业 的 硬件 加 密 处 理 咒 可 以 提供 标 
准 加 密 算法 下 350Mbit/s 以 上 的 加 密 吞 吐 量 ， 百 兆 VPN 网 关 通 过 专业 的 硬件 加 密 处 理 器 可 以 
提供 标准 加 密 算法 下 60Mbit/s 以 上 的 加 密 吞 吐 量 。 

4) 提供 图 形 化 界面 的 VPN 管理 工具 VPN Manager 以 及 自动 部 署 系统 BIMS 分 文智 能 管 
理 系 统 ， 实 现 VPN 可 视 化 的 VPN 部 署 管理 以 及 大 规模 的 自动 部 署 能 力 。 

5) VPN 客户 端 设 备 相对 来 说 比较 简单 。 

6) VPN 客户 端 可 以 使 用 动态 地 址 接 入 服务 器 ， 但 为 了 防止 客户 端 IPSec 配置 泄露 造成 
的 安全 隐患 ， 建 议 VPN 客户 端口 采用 静态 地 址 。 同 时 ， 这 样 也 便于 使 用 VPN Manager 的 配 
置 管理 功能 。 

7) 由 于 IPSec 不 能 承载 路 由 协议 ， 需 要 在 分 支 结构 和 园区 网 配置 大 量 的 静态 路 由 。 

8) 单纯 的 IPSec 封装 ， 对 于 带宽 资源 消耗 较 小 。 

2. SSLVPN 解决 方案 

在 IPSecVPN 之 后 ， 又 一 种 VPN 技术 逐渐 成 为 了 主流 ， 即 基于 应 用 层 的 SSLVPN 技术 。 

近年 来 ， 移 动 办 公 已 成 为 趋势 ， 移 动用 户 接 入 公司 内 部 专 网 的 需求 不 断 增加 ， 使 得 IP- 
SecVPN 的 使 用 也 逐渐 增加 。 但 由 于 IPSecVPN 存在 维护 和 扩展 的 困难 ， 造 成 企业 后 期 开 成 
本 过 高 ; 另 一 方面 ， 企 业 对 于 内 网 资源 的 保护 的 要 求 也 不 断 提 高 ，IPSecVPN 由 于 开放 了 整 
网 的 资源 给 接 和 人 人 用户， 企业 内 网 安全 方面 的 问题 逐渐 暴露 。 

鉴于 IPSecVPN 应 用 中 存在 的 不 足 ， 基 于 应 用 层 的 SSLVPN 开始 迅速 兴起 。SSL 的 英文 
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全 称 是 “Secure Sockets Layer” ， 中 文 名 为 “安全 套 接 层 协议 ”， 它 是 网 景 ( Netscape) 公司 
提出 的 基于 Web 应 用 的 安全 协议 。 是 一 种 基于 应 用 层 的 虚拟 专 网 技术 ， 它 利用 SSL 技术 和 
代理 技术 ， 向 终端 用 户 提 供 安 全 访问 HTTP 资源 、C/S 资源 ， 以 及 文件 共享 资源 等 功能 ， 同 
时 可 以 实现 不 同方 式 的 用 户 认证 ， 以 及 细 粒 度 的 访问 控制 。 通 过 该 技术 的 应 用 可 真正 实现 
“在 任何 时 候 、 任 何 地 点 、 通 过 任何 设备 安全 地 接 入 公司 内 部 网 ”的 目标 。 

SSL VPN 技术 应 用 具有 以 下 特点 : 

1) 适合 点 对 网 的 连接 。 

2) 无 需 手动 安装 任何 VPN 客户 端 软件 。 

3) 兼容 性 好 ， 支 持 各 种 操作 系统 和 终端 ， 不 会 与 终端 防火 墙 、 杀 毒 软件 冲突 。 

4) 细致 的 访问 权限 控制 。 

以 深信 服 科技 推出 的 SSL VPN 典型 解决 方案 为 例 ， 描 述 SSL VPN 的 组 网 方案 。 茶 企业 
总 部 需要 对 各 省 市 分 文 机 构 进 行业 务 管理 ， 应 用 都 是 基于 互联 网 的 Web 应 用 软件 。 企 业 总 
部 的 领导 、 业 务 人 员 需 要 经 党 出差 ， 移 动 办 公 需 求 急剧 增 加 。 总 部 员工 不 仅 需要 在 单位 局 域 
网 内 访问 O0A、 邮 件 系统 、 业 务 系统 等 网 络 资源 ， 在 外 出 差 期 间 他 们 同样 需要 安全 便捷 地 接 
入 总 部 局 域 网 访问 相关 办 公 系 统 。 为 更 进一步 提高 工作 人 员 的 工作 效率 ， 有 效 地 解决 数据 传 
输 中 的 通道 安全 、 数 据 安 全 、 接 和 人 安全 等 问题 ， 实 现 现 有 邮件 系统 的 安全 访问 ， 总 部 网 络 管 
理 者 考虑 通过 采用 VPN 接 入 的 方式 来 实现 工作 人 员 对 内 网 邮件 系统 的 安全 访问 和 操作 ， 要 
求 对 访问 、 邮 件 接收 都 达到 高 级 别 的 安全 性 和 稳定 性 。 

深信 服 SSL VPN 身份 认证 的 安全 性 、 数 据 传输 的 速度 、 接 入 操作 的 易 用 性 较 好 。 企 业 
选择 部 署 两 侣 深信 服 千 兆 级 SSL VPN 设备 ， 为 远程 接 入 构建 了 安全 高 效 的 接 入 平台 。 同 时 
考虑 到 线路 稳定 性 、 设 备 稳 定性 等 因素 ， 企 业 总 部 以 双 机 热 备 的 方式 实现 系统 连接 ， 保 障 即 
使 一 条 线路 出 现 故障 也 能 实现 远程 移动 办 公 接 和 人。 并 且 还 引入 了 深信 服 独 有 的 多 因素 身份 认 
证 方式 ， 实 现 了 静态 认证 和 动态 认证 的 混合 模式 身份 认证 体系 ， 这 样 保证 了 所 有 员工 接 和 人 总 
部 内 网 时 ， 可 以 做 到 完备 的 身份 安全 认证 。 其 组 网 方式 如 图 4-11 所 示 。 
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图 4-11 某 企业 总 部 部 署 SSL VPN 组 网 方式 
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该 方案 具有 如 下 特点 : 

1) 通过 SSL VPN ， 远 程 办 公 和 移动 用 户 可 以 随时 访问 内 部 办 公平 台 ， 获 取 、 提 交 信 息 
非常 便捷 。 

2) SSL VPN 提供 目前 最 丰富 的 认证 ， 包括 USB Key、 短 信 口 令 、 软 键盘 、 动 态 令 牌 、 
CA、 硬 件 特征 码 等 ， 在 最 大 程度 上 确保 接 入 用 户 身 份 的 合法 性 。 

3) SSL VPN 能 够 对 内 网 的 访问 权限 进行 细致 地 设 定 ， 对 不 同 的 用 户 分 配 不 同 的 权限 规 
则 ， 避 免 内 部 出 现 安全 隐患 。 

4) 操作 简易 ， 支 持 多 种 部 署 模 式 ， 不 会 对 现 有 网 络 造 成 任何 影响 ， 各 种 服务 及 应 用 均 
可 正常 使 用 ， 与 各 种 IT 办 公 系 统 结合 恨 好 。 


4.6 防火 墙 技术 





4.6.1 防火 墙 的 基本 概念 


防火 墙 作为 网 络 安全 的 一 种 防护 手段 得 到 了 广泛 的 应 用 ， 并 对 网 络 起 到 了 一 定 的 保护 作 
用 。 

防火 墙 来 源 于 古代 的 建筑 物 防 火 墙 的 概念 : 为 了 保护 建筑 物 内 部 财物 的 安全 ， 建 立 一 座 
高 大 的 墙 体 以 遮挡 、 躲 避 来 自 于 建筑 物 之 外 的 火灾 。 古 代 的 护城河 也 是 一 种 防火 墙 ， 保 护 城 
内 以 免 遭 到 外 部 的 攻击 。 后 来 这 种 思想 被 引入 到 计算 机 网 络 中 ， 主 机 不 断 遭 到 外 部 网 络 上 的 
其 他 主机 的 攻击 ， 为 了 抵御 这 种 攻击 ， 防 止 外 部 危害 人 侵 到 内 部 网 络 ， 创 建 了 计算 机 网 络 防 
火 墙 ， 其 在 网 络 中 的 位 置 如 图 4-12 所 示 。 











内 部 网 络 mg 外 部 网 络 
wp TW , 


防火 墙 (Firewall) 


图 4-12 ”防火墙 在 网 络 中 的 位 置 


计算 机 网 络 防火 增 是 设置 在 内 部 网 络 和 外 部 网 络 之 间 的 一 道 屏障 ， 它 就 像 内 部 网 络 入 口 
的 “哨兵 ”， 检 查 每 一 个 从 外 部 网 络 进 入 内 部 网 络 的 访问 者 ， 目 的 是 保护 内 部 网 络 不 受 外 部 
网 络 的 侵扰 。 

防火 墙 是 位 于 内 部 网 络 或 Web 站 点 与 因特网 之 间 的 一 个 路 由 需 或 一 台 计 算 机 ， 又 称 为 
堡垒 主机 。 它 是 在 两 个 网 络 之 间 执 行 访 问 控制 策略 的 一 个 或 一 组 系统 ， 包 括 硬件 和 软件 ， 它 
能 够 对 每 一 个 进入 内 部 网 络 的 访问 执行 检查 ， 就 像 是 安装 在 两 个 网 络 之 间 的 一 道 栅栏 ， 能 够 
允许 或 阻止 每 一 个 访问 ， 它 提供 的 是 一 种 过 滤 机 制 ， 提 供 可 控 的 过 滤 网 络 通信 ， 只 允许 授权 
的 通信 。 
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一 般 来 说 ， 防 火 墙 可 防止 来 自 “ 外 部 ”未 经 授权 的 交互 式 登录 ， 这 将 有 助 于 防止 破坏 
者 登录 到 网 络 用 户 的 计算 机 上 。 男 一 方面 ， 防 火 墙 还 充当 了 外 部 网 络 和 内 部 网 络 连接 的 一 个 
“阻塞 点 ”， 可 以 在 “阻塞 点 ”上 设置 安全 和 审计 检查 ， 定 期 系统 安全 向 管理 员 提供 一 些 情 
况 概 要 ， 提 供 有 关 通 过 防火 墙 的 数据 流 的 类 型 和 数量 ， 以 及 有 多 少 次 试图 问 入 防火 墙 的 信 
自 
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防火 墙 具有 以 下 基本 功能 : 

1. 防火 墙 充 当 内 部 网 络 的 安全 保护 屏障 

防火 墙 是 信息 进出 网 络 的 必 经 之 路 。 可 以 说 ， 如 果 切 断 防 火 墙 ， 就 可 以 保护 内 部 网 络 用 
户 免 受 网 络 上 的 任何 类 型 的 攻击 。 防 火 墙 会 检查 所 有 经 过 的 数据 的 细节 ， 它 会 根据 系统 预先 
定义 好 的 安全 策略 或 安全 规则 允许 或 禁止 这 些 数 据 流 的 通过 ， 这 将 极 大 地 提高 内 部 网 络 的 安 
全 性 。 

2. 防火 墙 能 够 强化 网 络 安全 策略 

前 面 我 们 学 习 过 网 络 安全 策略 的 概念 ， 它 体现 了 一 个 单位 的 安全 政策 ， 为 什么 要 采用 防 
火 墙 ? 需要 防范 哪些 威胁 ?哪些 活动 是 被 允许 的 ?哪些 活动 需要 被 禁止 ?解决 这 些 问题 需要 
采用 防火 墙 技术 ， 它 是 能 够 帮助 一 个 单位 实施 网 络 安全 策略 的 重要 技术 保障 之 一 。 

3. 防火 墙 能 够 对 网 络 访问 进行 监控 和 审计 

所 有 经 过 网 络 进出 的 信息 都 必须 通过 防火 墙 ， 因 此 防火 墙 能 够 记录 下 这 些 访问 的 来 源 、 
时 间 等 信息 ， 还 能 够 对 被 保护 网 络 与 外 部 网 络 之 间 的 事件 做 出 日 志 记 录 ， 同 时 疝 系统 管理 员 
提供 网 络 使 用 情况 的 统计 数据 。 通 过 对 这 些 数 据 信息 的 统计 分 析 ， 它 还 能 够 提供 预警 功能 ， 
对 内 部 网 络 受 到 可 疑 的 行为 或 者 攻击 企图 等 信息 的 统计 结果 有 助 于 系统 管理 员 做 出 适当 的 反 
应 ， 以 保障 网 络 的 安全 。 

4. 防火 墙 能 够 限制 暴露 内 部 网 络 的 信息 

可 以 利用 防火 墙 对 内 部 网 络 实现 网 段 的 划分 ， 对 内 部 网 络 中 重点 网 段 进行 隔离 ， 从 而 限 
制 局 部 重点 或 敏感 的 网 络 安全 问题 对 整个 网 络 造成 影响 。 在 内 部 网 络 中 ， 比 如 一 些 重要 的 服 
务 右 ， 如 数据 库 服务 器 、Web 服务 咒 等 ， 极 易 受 到 来 自 外 部 网 络 的 攻击 ， 而 防火 墙 的 隔离 
限制 了 内 部 网 络 的 结构 等 信息 的 暴露 ， 使 得 外 部 网 络 的 攻击 者 不 易 发 现 这 些 特别 重要 的 服务 
器 资源 。 

5. 防火 墙 是 一 个 安全 策略 的 检查 站 

所 有 进出 网 络 的 信息 必须 通过 防火 墙 ， 因此 防火 墙 成 为 了 网 络 上 的 一 个 检查 站 ， 对 于 来 
自 外 部 的 网 络 进行 检测 和 报警 ， 将 发 现 的 可 疑 访问 拒 之 门 外 。 
4.6.3 防火 墙 的 实现 技术 

防火 墙 产 品 主要 采用 数据 包 过 滤 与 代理 两 种 实现 技术 。 这 两 种 技术 各 有 优 缺 点 ， 有 时 将 
这 两 种 技术 混合 起 来 使 用 。 在 这 些 基本 技术 上 ， 又 衍生 出 一 些 新 的 技术 如 状态 检测 技术 、 深 
度 检 测 技术 、 自 适应 代理 技术 等 。 

1. 数据 包 过 滤 技 术 

数据 包 过 滤 是 防火 墙 最 基本 的 过 滤 技 术 ， 在 网 络 层 实 现 。 这 种 类 型 的 防火 墙根 据 定义 好 
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的 过 滤 规 则 审查 每 个 数据 包 ， 以 便 确 定 其 是 否 与 某 一 条 数据 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 
数据 包 的 报头 信息 进行 制定 ， 报 头 信息 中 包括 IP 源 地 址 、 卫 目标 地 址 、 传 输 协 议 〈TCP、 
UDP、ICMP 等 ) 、TCPZUDP 目标 端口 、ICMP 消息 类 型 等 。 数 据 包 过 滤 类 型 的 防火 墙 要 遵循 
的 一 条 默认 的 原则 是 “未 经 允许 即 为 拒绝 ”， 即 明确 允许 哪些 是 可 以 通过 防火 墙 的 数据 包 ， 
其 他 未 经 允许 的 全 部 被 禁止 。 

数据 包 过 滤 技 术 是 一 种 简单 、 有 效 的 安全 控制 技术 ， 它 通过 在 网 络 间 相互 连接 的 设备 上 
加 载 允许 、 禁 止 来 自 某 些 特定 的 源 地 址 、 目 的 地 址 、TCP 端口 号 等 规则 ， 对 通过 设备 的 数据 
包 进 行 检查 ， 限 制 数 据 包 进 出 内 部 网 络 。 数 据 包 过 滤 的 最 大 优点 是 对 用 户 透 明 ， 传 输 性 能 
高 。 但 由 于 安全 控制 层次 在 网 络 层 、 传 输 层 ， 安 全 控制 的 力度 也 只 限于 源 地 址 、 目 的 地 址 和 
端口 号 ， 因 而 只 能 进行 较为 初步 的 安全 控制 ， 对 于 恶意 的 拥塞 攻击 、 内 存 覆 盖 攻 击 或 病毒 等 
高 层次 的 攻击 手段 ， 则 无 能 为 力 。 

状态 检测 是 比 数据 包 过 滤 更 为 有 效 的 安全 控制 方法 。 对 新 建 的 应 用 连接 ， 状 态 检测 检查 
预先 设置 的 安全 规则 ， 人 允许 符合 规则 的 连接 通过 ， 并 在 内 存 中 记录 下 该 连接 的 相关 信息 ， 生 
成 状态 表 。 对 该 连接 的 后 续 数据 包 ， 只 要 符合 状态 表 ， 就 可 以 通过 。 这 种 方式 的 好 处 在 于 : 
由 于 不 需要 对 每 个 数据 包 进 行规 则 检查 ， 而 是 一 个 连接 的 后 续 数 据 包 (通常 是 大 量 的 数据 
包 ) 通过 散 列 算法 ， 直 接 进行 状态 检查 ， 从 而 使 得 性 能 得 到 了 较 大 提高 ; 而 且 ， 由 于 状态 
表 是 动态 的 ， 因 而 可 以 有 选择 地 、 动 态 地 开通 1024 号 以 上 的 端口 ， 使 得 安全 性 得 到 进一步 
的 提高 。 

2. 代理 技术 

代理 防火 墙 也 叫 应 用 层 网 关 防 火 墙 。 这 种 防火 墙 通过 一 种 代理 ( Proxy) 技术 参与 到 一 
个 TCP 连接 的 全 过 程 。 从 内 部 发 出 的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ， 就 好 像 是 源 于 防火 
墙 外 部 网 卡 一 样 ， 从 而 可 以 起 到 隐藏 内 部 网 结构 的 作用 。 

代理 服务 器 ， 是 指 代表 客户 处 理 服 务 器 连接 请 求 的 程序 。 当 代理 服务 器 得 到 一 个 客户 的 
连接 请 求 时 ， 它 们 将 核实 客户 请 求 ， 并 经 过 特定 的 安全 化 的 代理 应 用 程序 处 理 连接 请 求 ， 将 
处 理 后 的 请 求 传递 到 真实 的 服务 器 上 ， 然 后 接收 服务 器 应 答 ， 并 做 进一步 处 理 后 ， 将 答复 交 
给 发 出 请 求 的 最 终 客 户 。 代 理 服务 需 在 外 部 网 络 向 内 部 网 络 申请 服务 时 发 挥 了 中 间 转 接 的 作 
用 。 

代理 类 型 的 防火 墙 的 最 突出 的 优点 就 是 安全 。 由 于 每 一 个 内 外 网 络 之 间 的 连接 都 要 通过 
Proxy 的 介入 和 转换 ， 通 过 专门 为 特定 的 服务 如 Http 编写 的 安全 化 的 应 用 程序 进行 处 理 ， 然 
后 由 防火 墙 本 身 提交 请 求 和 应 答 ， 没 有 给 内 外 网 络 的 计算 机 以 任何 直接 会 话 的 机 会 ， 从 而 避 
免 了 入 侵 者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 

代理 防火 墙 的 最 大 缺点 就 是 速度 相对 比较 慢 ， 当 用 户 对 内 外 网 络 网 关 的 吞吐 量 要 求 比较 
高 时 〈 比 如 要 求 达到 75 ~100Mbit/s 时 ) ， 代 理 防 火 墙 就 会 成 为 内 外 网 络 之 间 的 瓶颈 。 

自 适 应 代理 技术 是 最 近 在 商业 应 用 防火 墙 中 实现 的 一 种 革命 性 的 技术 。 它 可 以 结合 代理 
类 型 的 防火 墙 的 安全 性 和 数据 包 过 滤 防 火 墙 的 高 速度 等 优点 ， 在 毫 不 损失 安全 性 的 基础 之 上 
将 代理 型 防火 墙 的 性 能 提高 10 倍 以 上 。 组 成 这 种 类 型 的 防火 墙 的 基本 要 素 有 两 个 : 自 适应 
代理 服务 器 与 动态 数据 包 过 滤器 。 

在 自 适 应 代理 与 动态 数据 包 过 滤器 之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进行 配置 时 ， 用 
户 仅仅 将 所 需要 的 服务 类 型 、 安 全 级 别 等 信息 通过 相应 Proxy 的 管理 界面 进行 设置 就 可 以 
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了 。 然 后 ， 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ， 决 定 是 使 用 代理 服务 从 应 用 层 代 理 请 求 
还 是 从 网 络 层 转发 包 。 如 果 是 后 者 ， 它 将 动态 地 通知 数据 包 过 滤 需 增 减 过 滤 规 则 ， 满 足 用 户 
对 速度 和 安全 性 的 双重 要 求 。 


4.6.4 防火 墙 的 分 类 


防火 墙 的 分 类 有 很 多 种 方法 ， 通 常 以 软 人 硬件 构成 来 划分 。 按 防火 墙 软 、 硬 件 形式 可 分 为 
软件 防火 墙 和 硬件 防火 墙 以 及 芯片 级 防火 墙 。 

1. 软件 防火 墙 

软件 防火 墙 又 称 个 人 防火 墙 ， 运 行 于 特定 的 计算 机 上 ， 它 需要 客户 预先 安装 好 的 计算 机 
操作 系统 的 支持 ， 一 般 来 说 这 人 台 计 算 机 就 是 整个 网 络 的 网 关 。 如 美国 飞 塔 公司 的 Web 应 用 
防火 墙 、 天 网 防火 墙 、 瑞 星 防 火 墙 等 。 

2. 硬件 防火 墙 

硬件 防火 墙 是 区 别 于 专用 处 理 芯 片 的 防火 墙 。 硬 件 防 火 墙 是 把 软件 防火 墙 蔡 入 在 硬件 
中 ， 一 般 的 软件 安全 厂商 所 提供 的 硬件 防火 墙 便 是 在 硬件 服务 器 厂商 定制 硬件 ， 然 后 再 把 
Linux 系统 与 自己 的 软件 系统 能 入 其 中 。 这 些 硬 件 主要 运行 一 些 经 过 裁剪 和 简化 的 操作 系统 ， 
最 常用 的 有 老 版 本 的 Unix、Linux 和 FreeBSD 系统 。 传 统 硬 件 防火 墙 一 般 至 少 应 具备 3 个 端 
口 ， 分 别 接 内 网 、 外 网 和 DMZ 区 ( 非 军事 化 区 ) 。 

3. 芯片 级 防火 墙 

芯片 级 防火 墙 基于 专门 的 硬件 平台 。 专 有 的 ASIC 芯片 促使 它们 比 其 他 种 类 的 防火 墙 速 
度 更 快 ， 处 理 能 力 更 强 ， 性 能 更 高 。 一 些 具 有 代表 性 的 厂商 有 FortiNet ( 飞 塔 ) 、Juniper 
( 瞻 博 ) 、Cisco (思科 ) 等 。 这 类 防火 墙 由 于 是 专用 0S (操作 系统 ) ， 因 此 防火 墙 本 身 的 漏 
洞 比较 少 。 


4.6.5 防火 墙 的 应 用 与 发 展 趋势 


今天 互联 网 快速 发 展 ， 信 息 资 源 和 基础 设施 形成 了 现代 企业 的 核心 。 部 署 了 网 络 的 企业 
不 但 能 提高 业务 效率 和 业绩 ， 还 能 获得 持续 竞争 优势 。 但 是 ， 网 络 也 会 给 企业 带 来 风险 。 目 
前 ， 不 仅 网 络 攻击 数量 不 断 攀 升 ， 而 且 攻 击 的 水 平 也 越 来 越 高 ， 致 使 各 机 构 核 心 业 务 面 临 的 
风险 越 来 越 大 。 因 此 ， 部 车 防火 增 已 经 成 为 一 个 企业 必 不 可 少 的 基础 设施 。 如 图 4-13， 是 思 
科 公 司 设计 的 一 种 防火 墙 在 整个 企业 中 的 部 著 染 构 示 意图 。 

防火 墙 正在 朝 着 一 体 化 安全 网 关 、 多 功能 方向 发 展 。 这 类 防火 墙 可 以 被 认为 是 一 种 复 
合 型 防火 墙 ， 不 仅 在 硬件 芯片 上 有 很 大 的 提高 ， 在 软件 算法 上 也 有 一 些 新 的 突破 。 当 前 
业界 推出 的 一 些 包含 了 状态 检测 、 深 度 包 检测 、 透 明代 理 的 新 一 代 技 术 的 防火 墙 ， 进 一 
步 基于 ASIC 架构 或 X86 架构 ， 把 防 病毒 、 内 容 过 滤 整 合 到 防火 墙 里 ， 其 中 还 包括 NAT、 
路 由 策略 、VPN、 入 侵 检测 系统 、 入 侵 防 御 系 统 、 防 病毒 网 关 等 功能 ， 形 成 了 一 体 化 的 安 
全 网 关 。 

业界 一 些 著 名 的 防火 墙 集 成 产品 主要 有 思科 公司 推出 的 PIX 防火 墙 ; 瞻 博 公司 推出 的 
ISG、SSG、SRX 等 系列 产品 ; 阿 姆 瑞 特 公司 推出 的 F500、F1800、F5500 等 系列 产品 ; 飞 塔 
公司 推出 的 统一 安全 网 关 (UTM) 系列 产品 ， 如 图 4-14 所 示 。 
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图 4-13 企业 防火 墙 部 署 应 用 
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图 4-14 防火墙 产品 
4.7 入 侵 检 测 系 统 


入 侵 是 指 试图 破坏 信息 系统 的 完整 性 、 机 密 性 、 可 信 性 的 任何 网 络 活动 。 防 范 攻 击 者 入 
侵 最 常用 的 方法 就 是 使 用 防火 墙 。 防 火 墙 是 设置 在 不 同 网 络 (如 可 信任 的 企业 内 部 网 和 不 
可 信任 的 公共 网 ) 或 网 络 安 全 域 之 间 的 一 系列 部 件 的 组 合 ， 其 作用 是 为 了 保护 与 互联 网 相 
连 的 企业 内 部 网 络 或 单独 节点 。 它 具有 简单 实用 的 特点 ， 并 且 透 明度 高 ， 可 以 在 不 修改 原 有 
网 络 应 用 系统 的 情况 下 达到 一 定 的 安全 要 求 。 但 是 ， 防 火 增 只 是 一 种 被 动 防御 性 的 网 络 安 全 
工具 ， 仅 仅 使 用 防火 墙 是 不 够 的 。 首 先 ， 入 侵 者 可 以 找到 防火 墙 的 漏洞 ， 绕 过 防火 墙 进 行 攻 
击 。 其 次 ， 防 火 墙 对 来 自 内 部 的 攻击 无 能 为 力 。 它 所 提供 的 服务 方式 是 要 么 都 拒绝 ， 要 么 都 
通过 ， 而 这 是 远 远 不 能 满足 用 户 复杂 的 应 用 要 求 的。 入 侵 检 测 是 防火 墙 的 合理 补充 ， 帮 助 系 
统 对 付 网 络 攻击 ， 扩 展 了 系统 管理 员 的 安全 管理 能 力 〈 包 括 安 全 审计 、 监 视 、 进 攻 识 别 和 
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啊 应 ) ， 提 高 了 信息 安全 基础 结构 的 完整 性 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闻 
门 ， 在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进行 监测 ， 从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 
作 的 实时 保护 。 相 对 于 防火 墙 而 言 ， 它 是 一 种 积极 主动 的 安全 防护 技术 。 


4.7.1 入 侵 检 测 系 统 的 基本 概念 及 功能 


入 侵 检测 《Intrusion Detection) ， 顾 名 思 义 ， 就 是 对 入 侵 行为 的 发 党 ， 即 识别 针对 计算 
机 或 网 络 资源 的 恶意 企图 和 行为 ， 并 对 此 做 出 反应 的 过 程 。 它 通过 对 计算 机 网 络 或 计算 机 系 
统 中 的 若干 关键 点 收集 信息 并 对 其 进行 分 析 ， 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 
行为 和 被 攻击 的 迹象 

入 侵 检测 系统 Intrusion Detection System ，IDS) ， 就 是 进行 人 侵 检测 的 软件 与 硬件 组 成 
的 独立 系统 。 它 能 够 检测 未 授权 对 象 (人 或 程序 ) 针对 系统 的 入侵 企图 或 行为 ， 同 时 监控 
授权 对 象 对 系统 资源 的 非法 操作 。 与 其 他 安全 产品 不 同 的 是 ， 人 侵 检测 系统 需要 更 智能 ， 它 
必须 可 以 将 得 到 的 数据 进行 分 析 ， 并 得 出 有 用 的 结果 。 一 个 合格 的 人 侵 检测 系统 能 大 大 地 简 
化 管理 员 的 工作 ， 保 证 网 络 安全 的 运行 。 

入 侵 检测 系统 具有 以 下 功能 : 

1) 监视 、 分 析 用 户 及 系统 活动 。 

2) 系统 构造 和 弱点 的 审计 。 

3) 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 士 报警 。 

4) 异常 行为 模式 的 统计 分 析 。 

5) 评估 重要 系统 和 数据 文件 的 完整 性 。 

6) 操作 系统 的 审计 跟踪 管理 ， 并 识别 用 户 违反 安全 策略 的 行为 。 


4.7.2 入 侵 检 测 系统 的 工作 原理 


1. 工作 原理 

对 一 个 成 功 的 人 侵 检 测 系统 来 讲 ， 它 不 但 可 使 系统 管理 员 时 刻 了 解 网 络 系统 (包括 程 
序 、 文 件 和 硬件 设备 等 ) 的 任何 变更 ， 还 能 给 网 络 安全 策略 的 制订 提供 指南 。 而 且 ， 人 侵 
检测 的 规模 还 应 根据 网 络 威胁 、 系 统 构造 和 安全 需求 的 改变 而 改变 。 和 人 侵 检 测 系统 在 发 现 人 
侵 后 ， 会 及 时 做 出 响应 ， 包 括 切断 网 络 连接 、 记 录 事 件 和 报警 等 。 

2. 入 侵 检 测 的 步骤 

入 侵 检测 系统 完成 人 侵 检测 功能 通常 需要 两 个 步骤。 

(1) 信息 收集 

入 侵 检测 的 第 一 步 是 信息 收集 ， 内 容 包括 系统 、 网 络 、 数 据 及 用 户 活 动 的 状态 和 行为 。 
而 且 ， 需 要 在 计算 机 网 络 系统 中 的 大 干 不 同 关 键 点 (不同 网 段 和 不 同 主机 ) 收集 信息 ， 这 
除了 尽 可 能 扩大 检测 范围 外 ， 还 有 重要 的 一 点 就 是 从 一 个 源 来 的 信息 有 可 能 看 不 出 疑点 ， 但 
从 几 个 源 来 的 信息 的 不 一 致 性 却 是 可 疑 行为 或 人 侵 的 最 好 标识 。 当 然 ， 和 人 侵 检测 很 大 程度 上 
依赖 于 收集 信息 的 可 靠 性 和 正确 性 ， 因 此 ， 很 有 必要 只 利用 所 知道 的 真正 的 和 精确 的 软件 来 
报告 这 些 信 息 。 因 为 黑客 经 党 替换 软件 以 搞 混 和 移 走 这 些 信 息 ， 例 如 替换 被 程序 调用 的 子 程 
序 、 库 和 其 他 工具 。 黑 客 对 系统 的 修改 可 能 使 系统 功能 失常 但 看 起 来 跟 正 常 的 一 样 。 因 此 需 
要 保证 用 来 检测 网 络 系统 的 软件 的 完整 性， 特别 是 和 人 侵 检 测 系统 软件 本 身 应 具有 相当 强 的 坚 
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回 性 ， 防 止 被 算 改 而 收集 到 错误 的 信息 。 

入 侵 检测 利用 的 信息 一 般 来 自 以 下 4 个 方面 : 

1) 系统 和 网 络 日 志文 件 : 黑客 经 常 在 系统 日 志文 件 中 留 下 他 们 的 踪迹 ， 因 此 ， 充 分 利 
用 系统 和 网 络 日 志文 件 信息 是 检测 人 侵 的 必要 条 件 。 日 志 中 包含 发 生 在 系统 和 网 络 上 的 不 寻 
常 和 不 期 望 的 活动 的 证 据 ， 这 些 证 据 可 以 指出 有 人 正在 人 侵 或 已 成 功 和 人 侵 了 系统 。 通 过 查看 
日 志文 件 ， 能 够 发 现成 功 的 入 侵 或 入 侵 企 图 ， 并 很 快 启动 相应 的 应 急 响 应 程序 。 

2) 目录 和 文件 中 的 不 期 望 的 改变 : 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ， 
包含 的 重要 信息 的 文件 和 私有 数据 文件 经 常 是 黑客 修改 或 破坏 的 目标 。 目 录 和 文件 中 的 不 期 
望 的 改变 (包括 修改 、 创 建 和 删除 )， 特 别 是 那些 正常 情况 下 限制 访问 的 ,很 可 能 就 是 一 种 
入侵 产生 的 指示 和 信和 号。 黑客 经 党 替换 、 修 改 和 破坏 他 们 获得 访问 权 的 系统 上 的 文件 ， 同 时 
为 了 隐藏 系统 中 他 们 的 表现 及 活动 痕迹 ， 都 会 尽力 去 替换 系统 程序 或 修改 系统 日 志文 件 。 

3) 程序 执行 中 的 不 期 望 行为 : 网 络 系统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服务 、 
用 户 局 动 的 程序 和 特定 目的 的 应 用 ， 例 如 数据 库 服 务 咒 。 每 个 在 系统 上 执行 的 程序 由 一 到 多 
个 进程 来 实现 。 每 个 进程 执行 在 具有 不 同 权限 的 环境 中 ， 这 种 环境 控制 着 进程 可 访问 的 系统 
资源 、 程 序 和 数据 文件 等 。 一 个 进程 出 现 了 不 期 望 的 行为 可 能 表明 黑客 正在 入侵 你 的 系统 。 
黑客 可 能 会 将 程序 或 服务 的 运行 分 解 ， 从 而 导致 它 失败 ， 或 者 是 以 非 用 户 或 管理 员 意 图 的 方 
式 操 作 。 

4) 物理 形式 的 入侵 信息 : 这 包括 两 个 方面 的 内 容 , 一 是 未 授权 的 对 网 络 硬 件 的 连接 ; 
二 是 对 物理 资源 的 未 授权 访问 。 黑 客 会 想方设法 去 突破 网 络 的 周边 防卫 ， 如 果 他 们 能 够 在 物 
理 上 访问 内 部 网 ， 就 能 安装 他 们 自己 的 设备 和 软件 。 依 此 ， 黑 客 就 可 以 知道 网 上 的 由 用 户 加 
上 去 的 不 安全 (未 授权 ) 设备 ， 然 后 利用 这 些 设备 访问 网 络 。 例 如 ， 用 户 在 家 里 可 能 安装 
Modem 以 访问 远程 办 公 室 ， 与 此 同时 黑客 正在 利用 自动 工具 来 识别 在 公共 电话 线 上 的 Mo- 
dem， 如 果 一 拨号 访问 流量 经 过 了 这 些 上 自动 工具 ， 那 么 这 一 拨号 访问 就 成 为 了 威胁 网 络 安全 
的 后 门 。 墨 客 驶 会 利用 这 个 后 门 来 访问 内 部 网 ， 从 而 越过 了 内 部 网 络 原 有 的 防护 措施 ， 然 后 
捕获 网 络 流量 ， 进 而 攻击 其 他 系统 ， 并 偷 取 敏 感 的 私有 信息 等 。 

(2) 信息 分 析 

通过 收集 与 人 侵 有 关 的 系统 、 网 络 、 数 据 及 用 户 活 动 的 状态 和 行为 等 信息 ， 一 般 通 过 模 
式 匹配 、 统 计 分 析 和 完整 性 分 析 等 三 种 技术 手段 进行 分 析 。 其 中 ， 前 两 种 方法 用 于 实时 的 入 
侵 检测 ， 而 完整 性 分 析 则 用 于 事后 分 析 。 

1) 模式 匹配 : 模式 匹配 就 是 将 收集 到 的 信息 与 已 知 的 网 络 和 人 侵 和 系统 误 用 模式 数据 库 
进行 比较 ， 从 而 发 现 违背 安全 策略 的 行为 。 该 方法 的 一 大 优点 是 只 需 收 集 相 关 的 数据 集合 ， 
显著 减少 了 系统 负担 ， 且 技术 已 相当 成 熟 。 它 与 病毒 防火 墙 采 用 的 方法 一 样 ， 检 测 的 准确 率 
和 效率 都 相当 高 。 但 是 ， 该 方法 存在 的 缺点 是 需要 不 断 升 级 以 对 付 不 断 出 现 的 黑客 攻击 手 
法 ， 不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

2) 统计 分 析 : 统计 分 析 方 法 首先 给 系统 对 象 (如 用 户 、 文 件 、 目 录 和 设备 等 ) 创建 一 
个 统计 描述 ， 统 计 正 常 使 用 时 的 一 些 测量 属性 〈 如 访问 次 数 、 操 作 失 败 次 数 和 延 时 等 ) 。 测 
量 属 性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ， 任 何 观察 值 在 正常 值 范围 之 外 时 ， 
就 认为 有 入 侵 发 生 。 例 如 ， 统 计 分 析 可 能 标识 一 个 不 正常 行为 ， 因 为 它 发 现 一 个 在 晚 八 点 至 
早 六 点 不 登录 的 账户 却 在 凌晨 两 点 试图 登录 。 其 优点 是 可 检测 到 未 知 的 人 侵 和 更 为 复杂 的 人 
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侵 ， 其 缺点 是 误 报 、 漏 报 率 高 ， 且 不 适应 用 户 正常 行为 的 突然 改变 。 这 种 方法 完全 取决 于 统 
计 分 析 方 法 ， 目 前 采用 了 很 多 人 工 智能 的 统计 分 析 方法 。 

3) 完整 性 分 析 : 完整 性 分 析 主 要 关注 某 个 文件 或 对 象 是 否 被 更 改 ， 这 经 常 包 括 文件 和 
目录 的 内 容 及 属性 。 完 整 性 分 析 利 用 强 有 力 的 加 密 机 制 ， 称 为 消息 摘要 函数 (例如 MD5 ) ， 
它 能 识别 哪怕 是 微小 的 变化 。 其 优点 是 不 管 模式 匹配 方法 和 统计 分 析 方 法 能 否 发 现 人 侵 ， 只 
要 是 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 ， 它 都 能 够 发 现 。 其 缺点 是 一 般 以 批 处 理 
方式 实现 ， 不 适用 于 实时 啊 应 。 


4.7.3 入 侵 检 测 系 统 的 分 类 


现 有 入侵 检测 系统 的 分 类 ， 大 都 基于 信息 源 和 分 析 方 法 进行 分 类 。 

1. 按 信息 源 分 类 

言 息 源 是 入 侵 检测 信息 收集 的 来 源 ， 这 些 来 源 成 为 了 和 人 侵 检测 的 对 象 ， 可 以 分 为 基于 主 
机 型 和 基于 网 络 型 两 大 类 ， 也 包括 基于 主机 和 基于 网 络 的 混合 模式 的 入侵 检测 系统 。 

(1) 基于 主机 的 入 侵 检测 系统 (HIDS ) 

基于 主机 的 HIDS 通常 是 被 安装 在 被 重点 检测 的 主机 上 ， 往 往 以 系统 日 志 、 应 用 程序 日 
志 、Windows NT 下 的 安全 记录 以 及 Unix 环境 下 的 系统 记录 等 作为 数据 源 ， 也 可 以 通过 其 他 
手段 (如 监督 系统 调用 ) 从 所 在 的 主机 收集 信息 进行 分 析 。 当 发 现 系 统 中 文件 被 修改 时 ， 
HIDS 将 新 的 记录 条 目 与 已 知 的 攻击 特征 相 比 较 ， 看 它们 是 否 匹 配 。 如 果 匹 配 ， 就 会 向 系统 
管理 员 报警 或 者 做 出 适当 的 响应 。 

e 优点 : 监视 所 有 系统 的 行为 ; 系统 误 报 率 低 ， 检 测 数据 流 简单 ， 系 统 简 单 ; 适应 交换 
和 加 密 ; 不 需要 额外 硬件 。 对 分 析 “ 可 能 的 攻击 行为 ”非常 有 用 。 举 例 来 说 ， 有 时 候 它 除 
了 指出 入 侵 者 试图 执行 一 些 “ 和 危险 的 命令 ”之 外 ， 还 能 分 辨 出 入 侵 者 干 了 什么 事 : 他 们 运 
行 了 什么 程序 、 打 开 了 哪些 文件 、 执 行 了 哪些 系统 调用 。 

e 缺点 : 看 不 到 网 络 活动 状况 ; 运行 审计 功能 需要 占用 系统 资源 ; 对 入 侵 行为 的 分 析 的 
工作 量 将 随 着 主机 数目 增加 而 增加 。 主 机 入侵 检测 系统 的 缺点 是 它 依 赖 于 服务 器 固有 的 日 志 
与 监视 能 

(2) 基于 网 络 的 入 侵 检测 系统 (NIDS ) 

NIDS 通常 被 设置 在 比较 重要 的 网 段 内 ， 以 网 络 包 作为 分 析 数 据 源 。NIDS 能 够 检测 那些 
来 自 网 络 的 攻击 ， 它 能 够 检测 到 超过 授权 的 非法 访问 。 它 通常 利用 一 个 工作 在 混 林 模式 下 的 
网 卡 来 实时 监视 并 分 析 通 过 网 络 的 数据 流 。 它 的 分 析 模 块 通常 使 用 模式 匹配 、 统 计 分 析 等 技 
术 来 识别 攻击 行为 。 一 旦 检测 到 了 攻击 行为 ，NIDS 的 响应 模块 就 做 出 适当 的 响应 ， 比 如 报 
警 、 切 断 相 关 用 户 的 网 络 连接 等 。 目 前 ， 大 部 分 人 侵 检测 系统 的 产品 是 基于 网 络 的 。 

e 优点 : 不 需要 改变 服务 器 等 主机 的 配置 。 不 需要 在 业务 系统 的 主机 中 安装 额外 的 软 
件 ; 不 影响 系统 机 器 的 CPU、L0 与 磁盘 等 资源 的 使 用 ; 不 影响 业务 系统 的 性 能 。 

e 缺点 : 对 加 密 通 信 无 能 为 力 ; 对 高 速 网 络 无 能 为 力 ; 不 能 预测 执行 命令 的 后 果 。 

(3) 基于 主机 和 基于 网 络 的 和 人 侵 检测 系统 的 集成 

HIDS 和 NIDS 各 有 优 缺 点 ， 单 纯 使 用 一 种 人 侵 检 测 系 统 可 能 会 使 防御 系统 不 健全 。 通 
常 许多 机 构 的 网 络 安全 解决 方案 都 同时 采用 了 基于 主机 和 基于 网 络 的 两 种 人 侵 检测 系统 。 因 
为 这 两 种 系统 在 很 大 程度 上 是 互补 的 。 实 际 上 ， 许 多 客户 在 使 用 IDS 时 都 配置 了 基于 网 络 的 
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和信 侵 检测 。 在 防火 墙 之 外 的 检测 絮 检 测 来 自 外 部 Internet 的 攻击 。DNS、Email 和 Web 服务 
恬 经 常 是 攻击 的 目标 ,但 是 它们 又 必须 与 外 部 网 络 交 互 ， 不 可 能 对 其 进行 全 部 屏蔽 ， 所 以 应 
当 在 各 个 服务 器 上 安装 基于 主机 的 入 侵 检测 系统 ， 其 检测 结果 也 要 向 分 析 员 控制 台 报 告 。 因 
此 ， 即 便 是 小 规模 的 网 络 结构 也 常常 需要 基于 主机 和 基于 网 络 的 两 种 入侵 检测 能 

2. 按 检 测 分 析 方 法 分 类 

根据 检测 所 用 分 析 方 法 的 不 同 ， 可 分 为 误 用 检测 和 异 弟 检测 。 

(1) 误 用 检测 

假定 所 有 的 人 侵 行为 和 手段 都 能 够 表达 一 种 模式 或 特征 。 如 果 将 以 往 发 现 的 网 络 攻击 的 
行为 的 特征 总 结 出 来 ， 并 建立 一 个 人 侵 特 征 信息 库 ， 当 入 侵 检测 系统 捕获 到 网 络 行为 特征 ， 
与 特征 信息 库 中 的 特征 进行 比较 ， 如 果 匹 配 ， 则 当前 的 网 络 行为 就 可 以 被 认定 为 是 入 侵 行 
为 。 误 用 检测 方法 对 已 知 的 入 侵 行为 和 手段 进行 分 析 ， 提 取 检 测 特征 ， 构 建 攻击 模式 ， 通 过 
系统 当前 状态 与 攻击 模式 的 状态 进行 匹配 ,判断 入 侵 行为 是 否 发 生 。 

e 优点 : 通常 可 以 准确 地 检测 出 已 知 的 入 侵 行为 ， 并 对 每 一 种 入 侵 提 供 比 较 详 细 的 信 
息 ， 以 便 入 侵 检测 系统 的 使 用 者 能 够 快速 准确 地 做 出 反应 。 误 用 检测 方法 具有 检测 准确 度 
高 、 技 术 相 对 成 熟 、 便 于 进行 系统 防护 等 优点 。 

e 缺点 : 对 入 侵 的 信息 收集 和 更 新 困难 ， 难 以 检测 本 地 入 侵 行 为 ， 不 能 检测 未 知 的 入 侵 
行为 ， 特 征 库 的 维护 存在 困难 等 。 

(2) 异 稼 检测 

异常 检测 假设 网 络 攻击 行为 是 不 常见 的 或 异常 的 ， 区别 于 正常 的 行为 。 为 实现 该 类 检 
测 ，IDS 建立 正常 活动 的 “规范 集 ”， 当 主体 的 行为 违反 其 统计 规律 时 ， 认 为 可 能 是 “ 
侵 ” 行 为 。 如 果 能 够 对 用 户 和 系统 所 有 正常 行为 总 结 活动 规律 并 建立 行为 模型 ， 那么 入 侵 
检测 系统 只 要 将 捕获 到 的 网 络 行为 与 行为 模型 进行 比较 ， 奉 该 行为 偏离 了 行为 模型 规定 的 行 
为 ， 就 可 以 被 认定 为 人 侵 。 

e 优点 : 能 够 检测 出 新 的 入 侵 行为 或 从 未 发 生 过 的 入 侵 行为 ; 对 操作 系统 的 依赖 性 较 
小 ; 可 以 检测 出 属于 滥用 权限 的 入 侵 。 

e 缺点 : 系统 抽象 出 正常 活动 的 行为 模型 比较 困难 ， 而 且 报警 率 很 高 。 


4.7.4 入 侵 检测 系统 产品 的 选用 方法 


在 互联 网 高 速 上 网 迅速 发 展 的 今天 ， 随 着 安全 事件 的 急剧 增加 以 及 人 侵 检测 技术 逐步 成 
熟 ， 入 侵 检测 系统 将 会 有 很 大 的 应 用 前 景 。 比 如 银行 的 互联 网 应 用 系统 (支付 网 天、 网 上 
银行 等 ) ， 科 研 单 位 的 开发 系统 、 军 事 系统 、 普 通 的 电子 商务 系统 等 ， 都 需要 有 IDS 的 护 
Hs 

一 般 在 选择 人 侵 检测 系统 时 ， 要 考虑 的 要 点 有 : 

1) 系统 的 价格 : 性 能 价格 比 ， 以 及 要 保护 系统 的 价值 是 重要 的 因素 。 

2) 特征 库 升 级 与 维护 的 费用 : 像 反 病毒 软件 一 样 ， 入 侵 检测 的 特征 库 需 要 不 断 更 新 才 
能 检测 出 新 出 现 的 攻击 方法 。 

3) 最 大 可 处 理 流量 : 对 于 网 络 入 侵 检测 系统 ， 最 大 可 处 理 流量 是 多 少 ? 要 分 析 网 络 入 
侵 检测 系统 所 部 署 的 网 络 环境 ， 如 果 在 512K 或 2M 专线 上 部 署 网 络 入侵 检 测 系统 ， 则 不 需 
要 高 速 的 入侵 检测 引擎 ， 而 在 负载 较 高 的 环境 中 ， 人 性 能 是 一 个 非常 重要 的 指标 。 
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4) 产品 是 否 存 在 常见 攻击 的 漏 检 : 有 些 常 用 的 租 开 入侵 检 测 的 方法 ， 如 : 分 片 、TTL 
欺骗 、 异 常 TCP 分 段 、 慢 扫描 、 协 同 攻击 等 。 

5) 产品 的 可 伸缩 性 : 系统 支持 的 传感器 数目 、 最 大 数据 库 大 小 、 传 感 器 与 控制 台 之 间 
通信 带宽 和 对 审计 日 志 滋 出 的 处 理 。 

6) 运行 与 维护 系统 的 开销 : 产品 报表 结构 、 处 理 误 报 的 方便 程度 、 事 件 与 日 志 查 询 的 
方便 程度 以 及 使 用 该 系统 所 需 的 技术 人 员 数 量 。 

7) 产品 支持 的 人 侵 特征 数 : 不 同 厂商 对 检测 特征 库 大 小 的 计算 方法 都 不 一 样 ， 所 以 不 
能 只 听 一 面 之 词 。 

8) 是 否 通过 了 国家 权威 机 构 的 评测 : 主要 的 权威 测评 机 构 有 : 国家 信息 安全 测评 认证 
中 心 、 公 安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 。 

















4.8 网 络 安全 综合 解决 方案 案例 分 析 


4.8.1 基本 思想 


在 茶 大 学 的 校园 网 信息 安全 保障 方案 设计 中 ， 从 技术 手段 方面 和 人手， 对 网 络 系统 、 主 机 
系统 和 边界 3 个 层面 进行 安全 考虑 。 同 时 大 学 也 要 从 管理 措施 上 进行 安全 防护 。 

根据 对 大 学 校园 网 络 建设 需求 和 业务 进行 仔细 分 析 的 结果 ， 在 安全 方案 设计 过 程 中 ， 首 
先 要 将 信息 网 络 的 结构 按照 深层 防御 的 思想 进行 划分 ， 即 前 面 所 提 到 的 主机 、 网 络 和 边界 的 
界定 ; 并 将 主机 、 网 络 和 边界 部 分 从 信息 网 络 中 界定 出 来 ; 然后 对 这 3 个 网 络 环节 的 安全 风 
险 进行 分 析 ， 并 提出 相应 的 安全 解决 方案 。 因 此 ， 在 对 主机 、 网 络 和 边界 部 分 进行 界定 时 ， 
可 以 认为 主机 和 网 络 设施 的 界定 相对 容易 和 直观 ， 但 是 系统 /网 络 边界 的 界定 是 相对 复杂 的 
过 程 。 这 是 因为 边界 不 仅仅 是 个 地 理 位 置 的 概念 ， 在 一 定 程 度 上 它 还 与 应 用 的 定义 划分 密切 
相关 。 基 于 上 述 思 想 ， 对 整个 网 络 的 安全 性 设计 分 为 以 下 几 个 方面 : 

1) 设备 安全 性 ; 

2) 网 络 层 的 安全 性 ; 

3) 数据 资料 的 安全 性 ; 

4) 其 他 安全 措施 。 
4.8.2 安全 方案 设计 

根据 大 学 校园 网 安全 应 用 需求 ， 通 常 一 个 大 学 园区 网 络 的 安全 系统 应 该 考虑 以 下 几 个 子 
系统 : 

1) 防火 墙 及 入 侵 防御 系统 ; 

2) 应 用 防护 系统 -Web 应 用 防火 墙 ; 

3) 安全 审计 系统 ; 

4) 安全 日 志 管理 中 心 ; 

5) 身份 认证 行为 授权 系统 ; 

6) 流量 控制 设备 ; 

7) 漏洞 扫描 系统 。 
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图 4-15” 某 大 学 校园 网 安全 解决 方案 示意 图 
4. 8.3 安全 防范 措施 


通过 在 校园 网 中 部 署 一 些 关 键 性 的 网 络 安全 设备 ， 可 以 极 大 的 保障 校园 网 络 的 安全 ， 提 
供 安全 的 网 络 环 境 ， 能 够 抵御 网 络 病毒 、 内 外 部 攻击 、 非 法 入 侵 等 威胁 。 采 取 安 全 隔离 等 技 
术 和 手段 ， 保 证 教学 用 网 和 学 生 用 网 互 不 影响 ， 可 以 对 学 生 的 上 网 行为 进行 记录 、 识 别 ， 并 
对 上 网 的 速率 和 流量 进行 策略 性 控制 。 提 供 安 全 的 邮件 防护 和 监控 ,可 防 垃 圾 邮件 、 防 木 
马 、 防 钓鱼 等 。 

俗话 说 ， 网 络 安全 三 分 技术 、 七 分 管理 ， 安 全 管理 贯穿 于 整个 安全 防范 体系 的 始终 。 实 
践 告诉 我 们 ， 必 须 具备 完善 的 安全 技术 防范 措施 和 严格 的 安全 管理 制度 ， 否 则 难以 保障 网 络 
系统 安全 。 以 高 校 校 园 网 络 安全 为 例 ， 一 般 大 型 园区 网 络 需 要 通过 管理 人 员 实 施 的 安全 措施 
主要 包括 以 下 几 个 方面 的 工作 。 

1. 网 络 安全 整体 策略 制定 与 部 署 

1) 制定 符合 园区 网 络 实际 需求 的 校园 网 络 安全 策略 ， 通 过 部 署 防火 墙 等 关键 性 网 络 安 
全 设备 ， 有 效 保障 校园 网 的 安全 。 

2) 加 强 网 络 安全 设备 运行 的 管理 、 监 控 、 升 级 和 维护 等 日 常 管理 工作 。 

3) 有 效 提 供 校 园 网 对 病毒 、 木 马 和 拒绝 服务 攻击 的 安全 保护 ， 提 高 校园 网 各 网 段 的 安 
全 性 。 
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4) 开展 入 侵 检测 、 入 侵 防 御 系 统 技术 的 研究 ， 运 用 现 有 IDS \ IPS 进一步 保障 网 络 安 
全 

5) 运用 技术 手段 ， 对 网 络 攻击 事件 进行 检测 。 对 发 现 的 攻击 事件 ， 及 时 分 析 ， 定 位 责 
任 人 ， 调 整 安 全 措施 ， 做 好 日 志 记 录 工 作 。 

6) 运用 流 探 设备， 合理 分 配 出 口 带宽 ， 重 点 保障 关键 业务 系统 的 服务 。 

7) 加 强 对 网 络 及 信息 安全 新 技术 的 研究 和 培训 。 

2. 网 络 设备 安全 

1) 保障 网 络 弱电 机 房 消 防 、 空 调 、 供 电 等 关键 系统 运行 通畅 ， 远 离 热源 、 水 、 暖 气 
等 ， 实 行 接地 或 安装 防 雷 设备 ， 保 障 校园 网 络 设备 的 防盗 和 防 灾 安全 。 

2) 加 强 对 网 络 设备 的 运行 管理 ， 对 物理 设备 异常 故障 要 及 时 报告 、 及 时 检修 。 

3) 对 重要 的 核心 设备 实行 双 机 热 备 ， 保 障 网 络 不 中 断 。 

4) 及 时 联系 网 络 设备 供应 厂商 对 网 络 设备 IOS 进行 升级 更 新 ， 防 范 设备 漏洞 。 

5) 加 强 网 络 设 备 运 行 监控 ， 采取 有 效 的 技术 措施 ， 定 时 分 析 网 络 设备 的 日 志 信 息 ， 做 
好 安全 预警 ， 防 范 针对 网 络 设 备 的 攻击 。 

6) 加 强 对 网 络 设备 ARP、 蠕 虫 等 病毒 的 检测 、 监 控 与 防范 。 

3. 服务 器 系统 的 安全 

1) 及 时 关注 服务 器 新 产品 、 新 技术 ， 对 服务 器 的 性 能 、 云 计算 、 集 群 计 算 、 高 性 能 计 
算 、 负 载 均 衡 、 虚 拟 化 、 刀 片 、 数 据 备 份 、 灾 难 恢复 、 操 作 系 统 、Web 服务 等 新 技术 开展 
研究 ， 为 实施 有 效 的 网 络 及 信息 系统 应 用 提供 决策 文 持 。 

2) 加 强 服 务 器 操作 系统 、 系 统 安全 技术 的 研究 ， 根 据 应 用 需求 有 效 实 施 服 务 器 配置 ， 
禁止 无 关 服务 ; 设置 高 强度 密码 ， 防 止 黑 客人 侵 。 

3) 尽量 采用 Unix 作为 服务 器 操作 系统 ， 密 切 关 注 相 关 厂 商 的 网 站 上 的 补丁 列表 ， 及 时 
为 系统 打上 相应 的 补丁 ， 防 范 系 统 漏洞 。 

4) 对 于 Windows 操作 系统 的 服务 器 ， 采 用 Windows 自动 更 新 服务 及 时 升级 ， 及 时 更 新 
补丁 ， 防 范 系统 漏洞 。 

5) 重要 应 用 服务 器 、 数 据 服务 器 必须 安装 有 效 的 防火 墙 及 防 病毒 软件 ， 保 障 系统 安 
2 

6) 加 强 服务 器 运行 监控 管理 ， 每 周 分 析 一 次 操作 系统 日 志 ， 采 取 措 施 提升 服务 器 安 
全 

7) 对 服务 器 及 应 用 系统 的 数据 进行 及 时 备份 。 

4. 应 用 系统 的 安全 

1) 研究 电子 邮件 系统 、 邮 件 网 关 新 产品 、 新 技术 ; 采取 技术 措施 实施 有 效 的 邮件 病毒 
检查 和 垃圾 邮件 过 滤 ， 做 好 邮件 系统 用 户 数据 的 备份 。 

2) 研究 业务 系统 应 用 系统 的 数据 安全 、 信 息 安 全 技术 ， 防 范 非 法 程序 注入 、 非 法 登 
录 ， 保 障 数据 安全 。 

5. 用 户 终端 系统 安全 

1) 做 好 校园 网 络 用 户 的 信息 安全 培训 工作 ， 提 高 信息 安全 防范 意识 。 

2) 积极 倡导 校园 网 络 用 户 使 用 正版 软件 ， 安 装 防 火 墙 、ARP 防火 墙 ; 安装 正版 防 病毒 
软件 ， 及 时 升级 病毒 库 。 
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3) 通过 在 校内 实施 Windows 补丁 更 新 服务 器 ， 定 时 从 微软 网 站 同步 下 载 补丁 程序 ， 并 
及 时 下 发 给 广大 客户 机 。 


本 章 小 结 


本 章 以 网 络 安全 技术 为 主题 ， 讨 论 了 大 型 园区 网 络 的 安全 方案 设计 和 网 络 安全 技术 。 

1) 总 结 了 网 络 面临 的 不 安全 因素 ， 讨 论 了 如 何 制定 网 络 安全 策略 及 防护 体系 ， 对 常见 
的 网 络 黑客 攻击 的 手段 和 防范 方法 进行 了 介绍 ; 这 一 部 分 侧重 介绍 了 实用 网 络 安全 技术 。 

2) 介绍 了 网 络 安全 基础 理论 ， 对 密码 算法 的 原理 、PKI、 认 证 等 进行 了 简单 的 分 析 。 

3) 重点 介绍 了 常用 的 网 络 安全 技术 ， 如 防火 墙 、VPN 、 入 侵 检测 系统 等 关键 性 网 络 安 
全 设备 及 其 应 用 。 

4) 以 高 校 校 园 网 为 例 ， 介 绍 了 一 个 网 络 安全 综合 解决 方案 ， 并 从 安全 管理 的 角度 剖析 
了 网 络 管理 人 员 应 该 完成 的 日 党 网 络 安全 管理 工作 。 
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5.1 综合 布线 系统 概述 


5.1.1 综合 布线 系统 简介 


2009 年 1 月 9 日 ， 由 澳 信 中 国 传媒 集团 旗下 的 IT168 网 站 主办 的 “2009 中 国 全 产品 创 
新 与 技术 趋势 大 会 ”隆重 召开 。IBM 全 球 副 总 裁 麦 特 ' 王 博 士 在 大 会 做 了 主题 为 《构建 知 
慧 的 地 球 》 的 演讲 ， 与 大 家 共享 一 个 新 的 观念 ， 这 也 是 IBM 在 2008 年 年 底 、2009 年 年 初 所 
提出 的 一 个 观念 ， 即 稼 芒 地 球 ， 用 来 控制 中 国 的 各 种 电子 系统 。 自 2009 年 BM 提出 智 莫 地 
球 的 概念 以 来 ， 云 计算 、 物 联网 等 概念 十 分 火热 。 我 国 又 提出 了 发 展 物 联网 产业 的 “感知 
中 国 ”的 概念 ， 标 志 着 我 们 已 经 完全 步 入 一 个 高 度 信息 化 发 达 的 时 代 。 

言 息 社会 发 展 的 最 终 目标 是 实现 万 物 以 互联 网 相连 ,并且 可 互相 通信 。 现 代 科 技 的 进步 
使 计算 机 及 网 络 技术 飞速 发 展 ， 提 供 了 越 来 越 强大 的 计算 机 处 理 能 力 和 网 络 通 信 能 力 。 计 算 
机 及 网 络 通信 技术 的 应 用 大 大 提高 了 现代 企业 的 生产 管理 效率 ， 降 低 了 运作 成 本 ， 并 使 得 现 
代 企业 能 更 快速 有 效 地 获取 市 场 信息 ， 及 时 做 出 决策 ， 提 供 更 快捷 、 更 满意 的 客户 服务 ， 在 
范 争 中 保持 领先 。 计 算 机 及 网 络 通信 技术 的 应 用 已 经 成 为 企业 成 功 的 一 个 关键 因素 。 

当今 社会 ,一 个 现代 化 的 大 楼 内 ,除了 具有 电话 、 传 真 、 空 调 、 消 防 、 动 力 电线 、 照 明 
电线 外 ,计算机 网 络 线路 也 是 不 可 缺少 的 。 这 些 布线 系统 就 像 一 个 大 楼 的 神经 系统 一 样 ， 遍 
布 整个 楼 宇 的 每 一 个 角落 。 综 合 布线 系统 的 对 象 是 建筑 物 或 楼 宇内 的 传输 网 络 ， 以 使 话音 和 
数据 通信 设备 、 交 换 设备 和 其 他 信息 管理 系统 彼此 相连 ,并 使 这 些 设备 与 外 部 通信 网 络 连 
接 。 它 包含 着 建筑 物 内 部 和 外 部 线路 ( 网 络 线路 、 电 话 线 路 ) 间 的 民用 电缆 及 相关 的 设备 
连接 措施 。 布 线 系 统 是 由 许多 部 件 组 成 的 ， 主 要 有 传输 介质 、 线 路 管理 硬件 、 连 接 需 、 插 
座 、 搬 头 、 适 配 咒 、 传 输电 子 线路 、 电 气 保护 设施 等 ， 并 由 这 些 部 件 来 构造 各 种 子 系统 。 

现代 计算 机 及 通信 网 络 均 依 赖 布线 系统 作为 网 络 连接 的 物理 基础 和 信息 传输 的 通道 。 传 
统 的 基于 特定 的 单一 应 用 的 专用 布线 技术 因 人 缺乏 灵活 性 和 发 展 性 ， 已 不 能 适应 现代 企业 网 络 
应 用 飞速 发 展 的 需要 。 而 新 一 代 的 结构 化 布线 系统 能 同时 提供 用 户 所 需 的 数据 、 话 音 、 传 
真 、 视 像 等 各 种 信息 服务 的 线路 连接 ， 它 使 话音 和 数据 通信 设备 、 交 换 机 设备 、 信 息 管理 系 
统 及 设备 控制 系统 、 安 全 系统 彼此 相连 ， 也 使 这 些 设备 与 外 部 通信 和 网络 相连 接 。 它 包括 建筑 
物 到 外 部 网 络 或 电话 线路 上 的 连 线 、 与 工作 区 的 话音 或 数据 终端 之 间 的 所 有 电缆 及 相关 联 的 
布线 部 件 。 布 线 系统 由 不 同系 列 的 部 件 组 成 ， 其 中 包括 : 传输 介质 、 线 路 管理 硬件 、 连 接 
器 、 插 座 、 搬 头 、 适 配器 、 传 输电 子 线路 、 电 天 保护 设备 和 支 持 硬件 。 

因此 ， 综 合 布线 系统 是 专门 为 现代 的 建筑 物 内 部 及 建筑 物 群 之 间 的 计算 机 、 通 信 设 备 和 
自动 化 设备 的 布线 设计 的 ， 可 以 满足 各 类 不 同 的 计算 机 、 通 信 设 备 、 建 筑 物 自动 化 设备 传输 
弱电 信和 号 的 要 求 。 
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5.1.2 综合 布线 系统 的 定义 


综合 布线 系统 由 于 各 国产 品类 型 不 同 ， 其 定义 是 有 差异 的 。 我 国 原 邮电 部 于 1997 年 9 
月 发 布 的 YDZT 926. 1 一 1997 通信 行业 标准 《大 楼 通信 综合 布线 系统 第 一 部 分 : 总 规范 》 
中 ， 对 综合 布线 系统 的 定义 为 :“ 通 信和 电缆 、 光 缆 、 各 种 软 电缆 及 有 关连 接 硬件 构成 的 通用 
布线 系统 ， 它 能 支持 多 种 应 用 系统 。 即 使 用 户 尚 未 确定 具体 的 应 用 系统 ， 也 可 进行 布线 系统 
的 设计 和 安装 。 综 合 布线 系统 中 不 包括 应 用 的 各 种 设备 。 目前 所 说 的 建筑 物 与 建筑 群 综合 
布线 系统 ， 简 称 综合 布线 系统 。 它 是 指 一 幢 建 筑 物 内 (或 综合 性 建筑 物 ) 或 建筑 群体 中 的 
言 息 传输 媒质 系统 。 它 将 相同 或 相似 的 缆 线 ( 如 对 绞 线 、 同 轴 电 缆 或 光 绕 ) 、 连 接 人 硬件 组 合 
在 一 起 ， 按 一 定 秩序 和 内 部 关系 集成 为 整体 。 

综合 布线 系统 (Premises Distributed System ，PDS) 又 称 结构 化 综合 布线 系统 (Structure 
Cabling System) ， 是 一 种 用 于 建筑 物 内 与 建筑 群 之 间 的 建筑 智能 信息 系统 的 集成 化 通用 传输 
系统 。 一 般 认 为 ， 综 合 布线 系统 是 指 由 通信 电缆 、 光 缆 以 及 各 种 软 电缆 及 有 关连 接 硬 件 构 成 
的 通用 布线 系统 ， 在 建筑 物 楼 宇内 和 一 定 的 建筑 楼 宇 构 成 的 园区 范围 内 ， 通 过 敷设 光缆 或 双 
绞 线 来 传输 信息 ， 可 以 连接 网 络 设备 、 电 话 、 计 算 机 、 服 务 器 、 监 控 等 多 种 设备 ， 通 过 综合 
布线 系统 可 以 搭建 一 个 集 语 音 、 数 据 、 图 像 等 信息 以 及 各 种 应 用 系统 于 一 身 的 传输 通道 。 

与 传统 的 布线 系统 不 同 ， 它 能 同时 支持 数据 传输 、 语 音 传输 和 图 像 传 给， 使 多 种 不 同 的 
信和 号 在 同一 条 线路 中 传输 ， 能 支持 连接 多 种 类 型 、 不 同 应 用 系统 的 电子 设备 ， 为 实现 建设 智 
能 化 集成 系统 提供 了 极 大 的 便利 。 


5.1.3 综合 布线 系统 的 特点 


综合 布线 系统 是 目前 国内 外 推广 使 用 的 比较 先进 的 综合 布线 方式 ， 它 具有 兼容 性 、 开 放 
性 、 灵 活性 、 可 靠 性 、 先 进 性 和 经 济 性 等 特点 ， 在 设计 、 施 工 和 维护 方面 比 传统 布线 方式 更 
为 方便 。 

1. 兼容 性 

绿 合 布线 的 首要 特点 是 它 的 兼容 性 。 所 谓 兼容 性 是 指 其 自身 是 完全 独立 的 而 与 应 用 系统 
无 关 ， 可 以 用 于 多 种 系统 的 信息 传输 。 综 合 布线 将 语音 、 图 像 、 数 据 与 监控 设备 的 信号 线 经 
过 统一 的 规划 和 设计 ， 采 用 相同 的 传输 媒体 、 信 息 插座 、 互 连 设备 、 适 配 带 等 ， 把 这 些 不 同 
言 号 综合 到 一 套 标准 的 布线 中 。 综 合 布线 系统 具有 综合 所 有 系统 和 互相 兼容 的 特点 ， 采 用 光 
绕 或 高 质量 的 布线 部 件 和 连接 硬件， 能 满足 不 同 生 产 厂家 终端 设备 传输 信号 的 需要 。 由 此 可 
见 ， 这 种 布线 比 传统 布线 更 为 简化 ， 可 节约 大 量 的 物资 、 时 间 和 空间 。 

2. 开放 性 

开放 性 其 实 也 是 一 种 兼容 性 的 表现 。 传 统 的 布线 方式 注定 了 设备 需要 专用 的 传输 线 缆 ， 
一 旦 设备 变 了 ， 传 输 线 缆 也 需要 重新 敷设 ， 这 对 于 现代 建筑 信息 化 来 说 是 不 可 思议 的 事情 。 
综合 布线 系统 的 开放 性 是 指 综 合 布线 系统 符合 多 种 国际 上 现行 的 标准 ， 几 乎 对 所 有 著名 厂商 
的 产品 都 是 开放 的 ， 如 计算 机 设备 、 交 换 机 设备 等 ， 并 对 所 有 通信 协议 也 是 支持 的 ， 如 
ISO/IEC 8802-3 、ISO/IEC 8802-5 等 。 

3. 灵活 性 

传统 的 布线 方式 结构 较为 固定 ， 对 增加 设备 或 搬迁 设备 的 扩展 性 考虑 不 足 。 综 合 布线 采 
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用 标准 的 传输 线 绕 和 相关 连接 人 硬件， 模块 化 设计 ， 因 此 所 有 信息 通道 都 是 通用 的 ， 可 以 支持 
电话 、 传 真 、 计 算 机 、 交 换 机 、 集 线 器 等 多 种 设备 的 接 入 。 所 有 设备 的 开通 及 更 改 均 不 需 改 
变 布线 系统 ， 只 需 增 减 相 应 的 网 络 设备 以 及 进行 必要 的 跳 线 管理 即 可 。 

4. 可 靠 性 

由 于 各 个 应 用 系统 互 不 兼容 ， 因 而 在 一 个 建筑 物 中 往往 要 有 多 种 布线 方式 。 这 些 不 同 的 
布线 往往 混杂 在 一 起 ， 互 不 兼容 ， 容 易 造 成 一 定 程度 的 信号 干扰 ， 同 时 也 不 便于 管理 。 

综合 布线 采用 高 品质 的 材料 和 组 合 压 接 的 方式 构成 一 套 高 标准 的 信息 传输 通道 。 所 有 线 
缆 和 相关 连接 器 件 均 通过 ISO 认证 ， 每 条 通道 都 采用 专用 仪器 校 核 线路 衰减 、 串 音 、 信 和 噪 
比 ， 以 保证 其 电气 性 能 。 在 布线 的 方式 上 ， 全 部 采用 物理 型 拓扑 结构 ， 应 用 系统 布线 全 部 采 
用 点 到 点 端 接 ， 其 结构 特点 使 得 任何 一 条 线路 故障 均 不 影响 其 他 线路 的 运行 ， 同 时 为 线路 的 
运行 维护 及 故障 检修 提供 了 极 大 的 方便 ， 为 各 个 应 用 系统 的 传输 提供 了 可 靠 的 保证 。 

5. 先进 性 

综合 布线 系统 采用 光纤 与 双 绞 线 作为 传输 线 绕 。 业 界 已 经 研发 出 多 种 技术 先进 的 、 高 
质 的 传输 光纤 ; 双 绞 线 已 经 较 多 地 开始 使 用 六 类 铜 绕 其 至 七 类 铜 绕 作为 传输 线 绕 ， 布 线 产 
丰富 多 样 ， 基 本 可 以 满足 骨干 万 兆 、 千 兆 到 桌面 等 高 带宽 应 用 。 

6. 经 济 性 

综合 布线 与 传统 的 布线 方式 相 比 ， 是 一 种 既 具 有 良好 的 初期 投资 特性 ， 又 具有 很 高 的 性 
能 价格 比 的 布线 方式 。 综 合 布线 系统 可 以 兼容 各 种 应 用 系统 ， 又 考虑 了 建筑 内 设备 的 变更 及 
科学 技术 的 发 展 ， 因 此 可 以 确保 大 厦 建 成 后 的 较 长 一 段 时 间 内 ， 满 足 用 户 应 用 不 断 增长 的 需 
求 ， 节 省 了 重新 布线 的 额外 投资 。 

综合 布线 系统 各 个 部 分 都 采用 高 质量 材料 和 标准 化 部 件 ， 并 按照 标准 施工 和 严格 检测 ， 
保证 系统 性 能 优良 可 靠 ， 满 足 目 前 和 今后 通信 的 需要 ， 且 在 维护 管理 中 减少 了 维修 工作 ， 节 
省 了 管理 费用 。 
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5.2 综合 布线 系统 的 结构 


5.2.1 综合 布线 系统 的 总 体 结构 


综合 布线 系统 应 为 开放 式 网 络 拓 扑 结 构 ， 应 能 支持 语音 、 数 据 、 图 像 、 多 媒体 业务 等 信 
县 的 传递 。 与 网 络 拓扑 结构 相似 ， 综 合 布线 系统 一 般 采 用 分 层 式 星 形 拓扑 结构 进行 延伸 ， 以 
一 种 相对 集中 的 方式 进行 传输 线路 的 敷设 。 在 综合 布线 领域 被 广泛 遵循 的 标准 是 EIAZTIA- 
568A， 该 标准 将 综合 布线 系统 划分 为 6 个 子 系统 ， 它 们 分 别 是 工作 区 子 系统 、 水 平子 系统 、 
干线 子 系统 、 设 备 间 子 系统 、 管 理子 系统 和 建筑 群 子 系统 。 这 6 个 分 文子 系统 都 是 相对 独立 
的 单元 ， 可 以 单独 设计 、 单 独 施工 ， 构 成 了 一 个 有 机 的 整体 ， 其 总 体 结构 如 图 5-1 所 示 。 

综合 布线 系统 使 用 标准 的 双 绞 线 和 光纤 ， 支 持 高 速率 的 数据 传输 。 这 种 系统 使 用 物理 分 
层 星 形 拓扑 结构 ， 积 木 式 、 模 块 化 设计 ， 遵 循 统 一 标准 ， 使 系统 的 集中 管理 成 为 可 能 ， 也 使 
每 个 信息 点 的 故障 、 改 动 或 增删 不 影响 其 他 的 信息 点 ， 使 安装 、 维 护 、 升 级 和 扩展 都 非常 方 
便 ， 并 可 节省 费用 。 

综合 布线 系统 的 各 子 系统 与 应 用 系统 的 连接 关系 ， 如 图 5-2 所 示 。 
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图 5-1 综合 布线 系统 组 成 结构 示意 图 
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图 5-2 综合 布线 的 各 子 系统 与 应 用 系统 的 连接 关系 
5.2.2 综合 布线 系统 的 组 成 


综合 布线 系统 采用 模块 化 结构 ， 按 各 个 模块 的 功能 进行 划分 ， 也 可 以 将 综合 布线 系统 具 


体 划 分 为 6 个 子 系统 。 
1. 工作 区 子 系 统 


工作 区 子 系统 的 目的 是 实现 工作 区 终端 设备 与 水 平子 系统 之 间 的 连接 ， 由 信息 插座 及 终 
端 设备 连接 到 信息 插座 的 连 线 组 成 ， 如 图 5-3 所 示 。 工 作 区 常用 设备 是 计算 机 、 网 络 集 线 需 
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(Hub) 、 电 话机 、 传 真 机 、 报 警 探 头 、 摄 像 机 、 监 视 器 、 电 视 机 等 ， 工 作 区 也 对 应 配备 计算 
机 网 络 插座 、 电 话语 音 插座 、CATV 电线 电视 插座 等 ， 并 配置 相应 的 连接 线 缆 ， 如 RJ45- 
RJ45 连接 线 绕 、RJ11-RJ11 电话 线 、 有 线 电视 电缆 ， 信 息 插 座 及 插座 与 终端 设备 连接 线 缆 的 
选 配 要 根据 所 连接 的 终端 设备 的 类 型 和 数量 而 定 。 

2. 水 平子 系统 

水 平子 系统 又 称 配 线 子 系统 ， 
主要 是 工作 区 的 信息 插座 与 楼 层 
管理 区 的 管理 右 件 相连 的 线 缆 ， 
如 图 54 所 示 。 它 提供 信息 插座 和 
管理 子 系统 ( 配 线 架 ) 间 的 连接 ， 
将 用 户 工作 区 引 至 管理 子 系统 ， 
并 为 用 户 提 供 一 个 符合 国际 标准 ， 
满足 语音 及 高 速 数据 传输 要 求 的 信 
息 点 出 口 。 

在 综合 布线 系统 中 ， 水 平子 系 
统 要 根据 建筑 物 的 结构 合理 选择 布 
线路 由 ， 要 根据 所 连接 的 不 同 种 类 | 
的 终端 设备 选择 相应 的 线 缆 。 系 统 PR 
中 常用 的 传输 介质 是 4 对 屏蔽 或 非 屏 蔽 双 绞 线 ， 它 能 文 持 大 多 数 现代 通信 设备 。 如 果 有 磁场 
干扰 或 信息 保密 时 可 采用 屏蔽 双 绞 线 。 如 果 需 要 高 宽带 应 用 时 ， 可 以 采用 光缆 ， 构 建 一 个 光 
纤 到 桌面 的 传输 系统 。 

3. 干线 子 系统 

干线 子 系 统 即 垂直 干线 子 系统 ， 是 综合 布线 系统 的 数据 流 主干 ， 所 有 楼 层 的 信息 流通 过 
水 平子 系统 汇集 到 干线 子 系统 。 干线 子 系统 是 由 设备 间 和 楼 层 配 线 间 之 间 的 连接 线 绕组 成 ， 
如 图 5-5 所 示 。 

干线 子 系统 一 般 采 用 大 对 数 双 绞 ee 楼 层 管理 间 
线 电缆 或 光缆 ， 两 端 分 别 端 接 在 设备 > 
间 和 楼 层 配 线 间 的 配 线 架 上 。 干 线 电 
缆 的 规格 和 数量 由 每 个 楼 层 所 连接 的 
终端 设备 类 型 及 数量 决定 。 干 线 子 系 
统一 般 采 用 垂直 路 由 ,干线 线 绕 沿 着 
垂直 竖井 布 放 ， 以 提供 设备 间 总 配 线 
架 与 干线 接线 间 楼 层 配 线 架 之 间 的 干 
线路 由 。 图 5-5 干线 子 系统 

4. 设备 间 子 系统 

设备 间 子 系统 由 设备 间 内 安装 的 电缆 、 连 接 占 和 有 关 的 支撑 硬件 组 成 ， 作 用 是 将 计算 
机 、 网 络 交换 机 、 摄 像 头 、 监 视 器 等 弱电 设备 互 连 起 来 并 连接 到 主 配 线 架 上 ， 如 图 5-6 所 
示 。 它 把 公共 系统 设备 的 各 种 不 同 设备 互 连 起 来 ， 如 把 电信 部 门 的 中 继 线 和 公共 系统 设备 
(如 PBX) 互 连 起 来 。 为 便于 设备 搬运 ， 节 省 投资 ， 设 备 间 的 位 置 最 好 选 定 在 建筑 物 的 第 二 
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层 或 第 三 层 。 设 备 间 还 包括 建筑 物 的 人口 区 的 设备 或 电气 保护 装置 及 其 连接 到 符合 要 求 的 建 
筑 物 接地 点 。 

5. 管理 子 系统 

管理 子 系统 位 于 楼 层 配 线 间或 设备 间 内 ， 由 线路 管理 器件 和 跳 线 组 成 ， 如 图 5-7 所 示 。 
在 楼 层 配 线 间 内 水 平 线 缆 与 干线 电缆 端 接 ， 设 备 间 内 干线 电缆 要 与 设备 连接 ， 这 都 需要 安装 
相应 线 缆 管 理 器 件 对 线路 进行 端 接 〈 交 连 或 互 连 ) ， 并 通过 跳 线 进行 线路 的 调整 、 测 试 等 管 
理工 作 ， 以 实现 综合 布线 系统 的 线路 管理 的 灵活 性 。 当 工作 区 内 的 终端 设备 需要 移动 到 另 一 








个 工作 区 时 ， 只 需 简 单 进行 跳 线 插 拔 调整 即 可 实现 。 
水 平 电缆 


干线 子 系统 






干线 电缆 
楼 层 配 线 管 理子 系统 





设备 间 管 理子 系统 


配 线 染 


设备 间 子 系统 用 亲 统 设备 


图 5-6 设备 间 子 系统 图 5-7 管理 子 系统 


管理 子 系统 常用 的 管理 右 件 是 铜 绕 配 线 架 和 光缆 配 线 架 ， 具 体 规格 及 数量 由 所 连接 的 绑 
绕 类 型 及 容量 所 决定 。 

6. 建筑 群 子 系统 

建筑 群 子 系统 是 将 一 个 建筑 物 中 的 电 
缆 延 伸 到 建筑 群 的 另外 一 些 建 筑 物 中 的 通 








言 设备 和 装置 ， 如 图 5-8 所 示 。 它 提供 了 0 

楼 群 之 间 通 信 所 需 的 硬件 ， 包 括 导线 电 

缆 、 光 缆 以 及 防止 电缆 上 的 脉冲 电压 进入 ”设备 间 建筑 群 子 系统 设备 间 
建筑 物 的 电气 保护 装置 。 图 5.8 ”建筑 群 子 系统 


建筑 群 子 系统 一 般 采 用 光缆 作为 传输 
介质 ， 它 将 一 个 建筑 物 的 电缆 延伸 到 建筑 群 的 另外 一 些 建 筑 物 中 的 通信 设备 和 装置 上 ， 是 结 
构 化 布线 系统 的 一 部 分 ， 支 持 提供 楼 群 之 间 通 信和 所 需 的 硬件 。 


s.3 网 络 传输 介质 


网 络 传输 介质 是 指 在 网 络 中 传输 信息 的 载体 。 无 论 是 全 球 性 的 互联 网 还 是 某 一 个 国家 的 
网 络 ， 要 实现 互联 互通 ， 基 本 方法 是 要 用 线 绕 连接 各 个 国家 和 城市 。 实 现 远 距离 地 区 网 络 连 
接 所 用 的 线 缆 有 穿越 海底 的 光缆、 也 有 连接 各 城市 的 通信 光线 ; 近 距 离 连 接 的 线 绕 有 小 到 一 
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个 办 公 室 、 一 个 宿舍 
质 。 常 用 的 传输 介质 

1. 有 线 传输 介质 

有 线 传 输 介质 是 指 在 两 个 通信 设备 之 间 实 现 的 物理 连接 部 分 ， 它 能 将 信号 从 一 方 传输 到 
男 一 方 。 有 线 传输 介质 主要 有 双 绞 线 、 同 轴 电 缆 和 光纤 。 双 绞 线 和 同 轴 电缆 传输 电信 号 ， 光 
纤 传 输 光 信 号 。 

2. 无 线 传输 介质 

无 线 传 输 介 质 指 我 们 周围 的 自由 空间 。 我 们 利用 无 线 电波 在 自由 空间 的 传播 可 以 实现 多 
种 无 线 通信 。 在 自由 空间 传输 的 电磁 波 根据 频谱 可 将 其 分 为 无 线 电 波 、 微 波 、 红 外 线 、 激 光 
等 ， 信 息 被 加 载 在 电磁 波 上 进行 传输 。 


5.3.1 双 绞 线 


双 绞 线 是 综合 布线 工程 中 最 常用 的 一 种 传输 介质 ， 也 是 一 种 最 廉价 的 传输 媒体 ， 并 且 易 
于 使 用 。 双 绞 线 也 可 支持 高 带宽 的 传输 ， 因 此 作为 一 种 最 常见 的 、 最 主要 的 网 络 传输 介质 被 
广泛 应 用 于 智能 建筑 的 综合 布线 工程 中 。 

双 绞 线 采 用 了 一 对 互相 绝缘 的 铜 导线 互相 绞 合 在 一 
起 ， 形 成 有 规则 的 螺旋 形 ， 来 抵御 一 部 分 外 界 电磁 波 的 _ 
干扰 ， 更 主要 的 是 可 降低 自身 信号 的 对 外 干扰 。 通 常 是 > 
把 若干 对 双 绞 线 集成 一 束 ， 并 且 用 护 套 外 皮包 住 ， 形 成 -22> 
了 典型 的 双 绞 线 电 缆 。 把 多 个 线 对 扭 在 一 块 可 以 使 各 线 >» 
对 之 间或 其 他 电子 噪声 源 的 电磁 干扰 最 小 。 通 常 所 说 的 
双 绞 线 是 指 由 8 芯 (4 对 ) 组 成 的 ， 如 图 5-9 所 示 。 仔 细 
观察 可 以 发 现 ， 每 一 对 线 在 同一 长 度 内 绞 数 不 同 ， 旦 每 图 5.9” 双 绞 线 示意 图 
一 对 线 用 不 同 的 颜色 区 分 。 

1. 非 屏 蔽 双 绞 线 和 屏蔽 双 绞 线 

双 绞 线 主要 分 为 两 大 类 ， 即 非 屏蔽 双 绞 线 ( Unshielded Twisted-Pair，UTP) 和 屏蔽 双 绞 
线 (Shielded Twisted-Pair，STP) 。 

非 屏蔽 双 绞 线 是 一 种 数据 传输 线 ， 由 4 对 不 同 颜色 的 传输 线 所 组 成 ， 就 是 常用 的 普通 电 
话 线 或 数据 线 ， 广 泛 用 于 以 太 网 络 和 电话 线 中 。 当 前 综合 布线 系统 工程 中 ， 非 屏蔽 双 绞 线 一 
般 可 以 满足 用 户 的 电话 业务 及 数据 业务 需求 ， 应 用 非常 广泛 ， 也 是 物美 价 廉 、 最 易于 安装 和 
使 用 的 传输 媒体 。 非 屏蔽 系统 可 以 在 普通 的 商务 楼 宇 环境 下 稳定 的 工作 ， 但 不 适合 在 对 信息 
安全 有 高 度 要 求 ， 或 者 有 电磁 干扰 的 环境 中 使 用 ， 不 能 满足 特殊 行业 的 要 求 : 如 政府 、 军 队 
等 行业 用 户 。 

屏蔽 双 绞 线 在 双 绞 线 与 外 层 绝缘 封套 之 间 有 一 个 金属 屏蔽 层 。 屏 蔽 层 可 减少 辐射 ， 防 止 
言 息 被 窍 听 ， 也 可 阻止 外 部 电磁 干扰 的 进入 ， 使 屏蔽 双 绞 线 比 同类 的 非 屏 项 双 绞 线 具 有 更 高 
的 传输 速率 。 屏 蔽 系统 在 干扰 严重 的 环境 下 ， 不 仅 可 以 安全 地 运行 各 种 高 速 网 络 ， 还 可 以 安 
全 地 传输 监控 信号， 以 避免 干扰 带 来 的 监控 系统 假 信息 、 误 动作 等 。 对 一 些 对 传输 有 非常 特 
殊 要 求 的 网 络 ， 包 括 涉及 安全 的 重要 信息 ， 一 定 要 使 用 屏蔽 双 绞 线 。 屏 蔽 系统 能 防止 电磁 辐 
射 泄漏 ， 保 证 机 密 信息 的 安全 传输 。 
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2. 非 屏蔽 双 绞 线 的 分 类 

非 屏蔽 双 绞 线 具 有 成 本 低 、 柔 性 好 、 传 输 性 能 好 等 特点 ， 是 全 志 界 范围 内 综合 布线 工程 
中 应 用 最 广泛 的 电费。EIAZTIA (电子 工业 协会 /电信 工业 协会 ) 按照 电气 性 能 的 不 同 ， 将 
UTP 双 绞 线 定 义 为 8 种 类 别 : 

1) 一 类 线 : 主要 用 于 模拟 语音 传输 (一 类 标准 主要 用 于 20 世纪 80 年 代 之 前 的 电话 线 





2) 二 类 线 : 用 于 语音 传输 和 最 高 传输 速率 为 4Mbit/s 的 数据 传输 。 

3) 三 类 线 : 用 于 语音 传输 及 最 高 传输 速率 为 10Mbit/s 的 数据 传输 。 

4) 四 类 线 : 用 于 语音 传输 和 最 高 传输 速率 为 16Mbit/s 的 数据 传输 。 

5) 五 类 线 : 该 类 电缆 增加 了 绕 线 密度 ,外套 一 种 高 质量 的 绝缘 材料 ， 传 输 频 率 为 
100MHz， 用 于 语音 传输 和 最 高 传输 速率 为 100Mbit/s 的 数据 传输 ， 主 要 用 于 100BASE-T 和 
1000BASE-T 网 络 。 

6) 超 五 类 线 : 超 五 类 线 衰 减 小 ， 串 扰 少 ， 并 且 具 有 更 高 的 衰减 与 串扰 的 比值 (ACR ) 
和 信 噪 比 (Structural Retur Loss) 、 更 小 的 时 延误 差 ， 性 能 得 到 了 很 大 提高 。 超 五 类 线 主 要 
用 于 百 兆 位 以 太 网 (100Mbit/s) ， 也 可 用 于 于 兆 位 以 太 网 (1000Mbit/s) 。 这 是 最 常用 的 以 
太 网 电缆 。 

7) 六 类 线 : 该 类 电缆 的 传输 频率 为 1 ~250MHz， 六 类 布线 系统 在 200MHz 时 综合 衰减 
串扰 比 (PS-ACR) 应 该 有 较 大 的 余 量 ， 它 提供 2 倍 于 超 五 类 的 带宽 。 六 类 布线 的 传输 性 能 
远 远 高 于 超 五 类 标准 ， 最 适用 于 传输 速率 高 于 1Gbit/s 的 应 用 。 六 类 与 超 五 类 的 一 个 重要 的 
不 同 点 在 于 : 改善 了 在 串扰 以 及 回 波 损耗 方面 的 性 能 ， 对 于 新 一 代 全 双 工 的 高 速 网 络 应 用 而 
言 ， 优 良 的 回 波 损耗 性 能 是 极 重要 的 。 六 类 标准 中 取消 了 基本 链 路 模型 ， 布 线 标准 采用 星 
形 的 拓扑 结构 ， 要 求 的 布线 距离 为 : 永久 链 路 的 长 度 不 能 超过 90m， 信 道 长 度 不 能 超过 
100m 。 

8) 七 类 线 : 带宽 为 600MHz， 可 能 用 于 今后 的 10Gbit 以 太 网 。 

目前 ， 综 合 布线 系统 中 主要 使 用 超 五 类 线 、 六 类 线 作 为 语音 或 数据 传输 系统 。 六 类 非 屏 
蔽 双 绞 线 可 以 非常 好 地 支持 千 兆 以 太 网 ， 并 实现 100m 的 传输 距离 。 六 类 双 绞 线 虽 然 价 格 较 
高 ， 但 由 于 与 超 五 类 布线 系统 具有 非常 好 的 兼容 性 ， 且 能 够 非常 好 地 支持 1000BASE-T， 所 
以 正 慢 慢 成 为 综合 布线 的 主流 产品 。 七 类 线 是 一 种 新 的 双 绞 线 产 品 ， 性 能 优异 ， 但 目前 价格 
较 高 ， 施 工 复 杂 且 可 供 选 择 的 产品 较 少 ， 目 前 很 少 在 综合 布线 工程 中 采用 。 

3. 双 绞 线 的 使 用 

双 绞 线 需 要 通过 RJ-45 连接 器 (俗称 水 晶 头 ) 与 网 卡 、 和 集线器 或 交换 机 等 设备 相连 。 
在 制作 水 晶 头 时 ， 必 须 符合 国际 标准 。EIAZTIA 制定 的 双 绞 线 制作 标准 有 T568A 和 T568B， 
其 规定 的 线 序 标准 见 表 5-1， 其 中 双 绞 线 的 这 8 根 线 的 引 脚 定义 见 表 5-2: Tx 代表 发 送 端 ， 
Rx 代表 接收 端 。 












































表 5-1 线 序 标准 








引 脚 号 1 2 3 4 5 6 7 8 
T568A 标准 绿 白 绿 橙 白 蓝 蓝 白 橙 标 白 村 
T568B 标准 橙 白 橙 绿 白 蓝 蓝 白 绿 标 村 






































表 5-2 双 绞 线 引 肢 定 义 
































线 号 1 2 3 4 5 6 7 8 
线 色 橙 白 橙 绿 白 蓝 蓝 白 绿 标 白 棕 
作用 Tx Tx — Rx+ Rx - 








按照 双 绞 线 两 端 线 序 的 不 同 ， 我 们 一 般 划 分 两 类 双 绞 线 : 一 类 两 端 线 序 排列 一 致 ， 称 为 
直通 线 ; 男 一 类 是 改变 线 的 排列 顺序 ， 称 为 交 又 线 。 其 线 序 见 表 5-3、 表 54。 
表 5-3 直通 线 线 序 〈 机 器 与 集线器 连 ) 





















































线 序 1 2 3 4 5 6 7 8 
A 端 杰 白 绿 日 蓝 蓝 白 绿 棕 白 棕 
B 端 杰 白 绿 日 蓝 蓝 白 绿 棕 白 棕 





表 5-4 ”交叉 线 线 序 (机 器 直 连 、 集 线 器 普通 端口 级 联 ) 



































A 端 橙 白 栓 绿 白 蓝 蓝 白 绿 棕 白 棕 
B 端 绿 白 绿 橙 白 蓝 蓝 白 楼 棕 白 棕 











在 进行 设备 连接 时 ， 需 要 正确 地 选择 线 缆 。 设 备 的 RJ-45 接口 分 为 MDI 和 MDIX 两 类 。 
当 同 种 类 型 的 接口 通过 双 绞 线 互 连 时 ,使 用 交叉 线 ; 当 不 同类 型 的 接口 通过 双 绞 线 互 连 时 ， 
使 用 直 连 线 。 通 常 主机 和 路 由 需 的 接口 属于 MDI， 交 换 机 和 集线器 的 接口 属于 MDIX。 例 
如 ， 路 由 顺和 主机 相连 ， 采 用 交叉 线 ; 交换 机 和 主机 相连 则 采用 直 连 线 ， 见 表 5-5。 
表 5- 直通 线 与 交叉 线 级 联 使 用 表 



















































































主机 路 由 屁 交换 机 MDIX 交换 机 MDI 集线器 

主机 交叉 交叉 直 连 N/A 直 连 
路 由 屁 交叉 交叉 直 连 N/A 直 连 
交换 机 MDIX 直 连 直 连 交叉 直 连 交叉 
交换 机 MDI N/A N/A 下 这 交叉 直 连 
集线器 直 连 直 连 交叉 直 连 交叉 









































RJ-45 水 蝇头 由 金属 片 和 塑料 构成 ， 特 别 需要 注意 的 是 引 脚 序号 ， 当 金属 片面 对 我 们 的 
时 候 从 左 至 右 引 脚 序 号 是 1 ~8。 序 号 在 制作 双 绞 线 接头 时 非常 重要 ， 一旦 序号 出 现 错误 ， 
将 无 法 正常 传输 数据 。 


5.3.2 同 轴 电线 


同 轴 电 绕 以 硬 铜 线 为 蕊 ， 外 包 一 层 绝 缘 材 料 ， 如 图 5-10 所 示 为 同 轴 电 线 结构 ， 其 内 部 
的 铜 芯 主要 用 于 实现 信号 的 传输 ; 屏蔽 层 通 常 由 金属 丝 编织 网 构成 ， 以 实现 与 外 界 电 绕 干扰 
的 隔离 ， 同 时 防止 外 界 电磁 场 对 铜 芯 上 传输 信号 的 干扰 ; 内 部 绝缘 层 主 要 隔离 铜 必 与 屏蔽 
层 ; 外 部 绝缘 层 较 厚 并 具有 较 好 的 弹性 。 
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同 轴 电 缆 可 分 为 粗 缆 和 细 缆 两 种 ， 粗 缆 用 于 较 大 型 局 域 网 的 布线 ， 具 有 通信 距离 长 、 可 





同 轴 电 缆 兽 经 被 广泛 用 于 10Base-5 和 10Base-2 以 
太 网 中 。 当 前 ， 在 建筑 楼 宇 的 综合 布线 工程 中 已 经 被 
双 绞 线 和 光纤 取代 。 


5.3.3 光纤 


1. 光纤 的 基本 概念 会 
光纤 是 光 导 纤维 的 简写 ， 是 一 种 利用 光 在 玻璃 或 
塑料 制 成 的 纤维 中 的 全 反射 原理 而 达成 光 传 导 的 工具 。 绝缘 材料 
光纤 是 一 种 细小 、 和 柔韧 并 能 传输 光 信 号 的 介质 。 利 用 内 芯 
光纤 作为 传输 介质 的 通信 方式 叫 光 通信 。 光 纤 是 一 种 图 5-10” 同 轴 电缆 结构 
传输 频带 宽 、 通 信和 容量 大 、 传 输 损 耗 低 、 中 继 距 离 长、 
抗 电磁 干扰 能 力 强 、 无 串 话 干 扰 和 保密 性 好 的 传输 介质 。 
在 局 域 网 或 广域网 组 网 工程 布线 施工 中 ， 光 缆 是 一 种 主要 使 用 的 综合 布线 材料 。 一 根 光 
缆 包 含有 多 条 光纤 ， 比 较 常见 的 有 4 芯 、8 芯 、12 芯 、24 芯 、48 芯 、96 芯 甚至 更 多 芯 数 的 
光缆 。 光 缆 最 核心 的 部 分 是 它 所 包含 的 纤 芯 ， 纤 芯 通 常 是 石英 玻璃 制 成 的 横 截 面积 很 小 的 双 
层 同心 圆柱 体 ， 质 地 脆 、 易 断裂 。 纤 芯 外 面包 围 着 一 层 折 射 率 比 芯 线 低 的 玻璃 封套 作为 包 
层 ， 以 使 光纤 保持 在 芯 内 。 在 实际 组 网 工程 中 所 用 到 的 光纤 都 已 经 加 装 了 保护 套 层 ， 以 形成 
个 保护 外 壳 ， 以 增强 光缆 的 抗 拉 强度 ， 有 利于 在 实际 布线 工程 中 使 用 。 图 5-11 所 示 为 光 
缆 结 构图 。 
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图 5-11 光线 结构 图 








2. 光纤 的 分 类 及 其 主要 性 能 参数 

光纤 主要 分 以 下 两 大 类 : 

(1) 按 传输 点 模 数 分 类 

按 传输 点 模 数 分 类 ， 光 纤 可 分 为 单 模 光纤 (Single Mode Fiber) 和 多 模 光 纤 ( Multi Mode 
Fiber) 。 

单 模 光纤 的 纤 芯 直径 很 小 , 在 给 定 的 工作 波长 上 只 能 以 单一 模式 传输 ， 传 输 频 带宽 ， 传 
输 容 量 大 。 和 党 用 单 模 光 纤 的 直径 一 般 为 125um， 芯 径 为 8.3hm 左右 。 在 单 模 光 纤 中 ， 因 只 
有 一 个 模式 传播 ， 不 存在 模 间 色散 ， 因 此 具有 较 大 的 传输 带宽 ， 并 且 在 1310nm 波长 区 的 损 
耗 约 为 0.4dB/km， 在 1350nm 波长 区 的 损耗 约 为 0.3dB/km， 因 损耗 较 低 而 被 广泛 应 用 于 高 
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速 长 距离 的 光纤 通信 系统 中 。 使 用 单 模 光 纤 时 ， 色 度 色散 是 影响 信号 传输 的 主要 因素 ， 这 样 
单 模 光 纤 对 光源 的 谱 宽 和 稳定 性 都 有 较 高 的 要 求 ， 即 谱 宽 要 鹤 ， 稳 定性 要 好 。 单 模 光 纤 一 般 
必须 使 用 半导体 激光 器 激励 。 

多 模 光 纤 是 在 给 定 的 工作 波长 上 ， 能 以 多 个 模式 同时 传输 的 光纤 。 与 单 模 光纤 相 比 ， 多 
模 光 纤 的 传输 性 能 较 差 。 常 用 多 模 光 纤 的 直径 也 为 125um， 其 中 必 径 一 般 为 50um 和 
62. Sum 两 种 。 在 多 模 光 纤 中 ， 可 以 有 数 百 个 光波 模 在 传播 。 多 模 光 纤 一 般 工作 于 短波 长 
(0.8um) 区 ,损耗 与 色散 都 比较 大 ， 带 宽 较 小 ， 适 用 于 低速 短 距离 光 通 信和 系统 。 多 模 光 纤 
的 优点 在 于 其 具有 较 大 的 纤 必 直径 ， 可 以 用 较 高 的 耦合 效率 将 光 功 率 注 入 到 多 模 光 纤 中 。 多 
模 光 纤 一 般 使 用 发 光 二 极 管 (LED) 激励 。 

IEEE802. 3z 千 兆 位 以 太 网 标准 中 规定 50A125 pm 多 模 和 62. 5A125 pm 多 模 光 纤 都 可 以 作 
为 千 兆 位 以 太 网 的 传输 介质 使 用 。50/125 pm 渐变 折射 率 多 模 光 纤 中 传输 模 的 数目 大 约 是 
62. 5/125 pm 多 模 光 纤 中 传输 模 的 1/2. 5， 有 效 地 降低 了 多 模 光 纤 的 模 色 散 ， 使 得 带宽 得 到 
本 显著 的 增加 。 一 般 首 选 50/125um 多 模 光 纤 。 

(2) 按 折射 率 分 布 分 类 

按 折射 率 分 布 分 类 光纤 可 分 为 跳 变 式 光纤 和 渐变 式 光 纤 。 跳 变 式 光纤 纤 芯 的 折射 率 和 保 
护 层 的 折射 率 都 是 一 个 带 数 。 在 纤 芯 和 保护 层 的 交界 面 ， 折 射 率 呈 阶 梯形 变化 。 渐 变 式 光 纤 
纤 忆 的 折射 率 随 着 半径 的 增加 按 一 定 规律 减 小 ， 在 纤 芯 与 保护 层 交 界 处 减 小 为 保护 层 的 折射 
率 。 纤 必 的 折射 率 的 变化 近似 于 抛物 线 。 

目前 ， 国 际 上 单 模 光 纤 的 标准 主要 是 ITU-T G. 652《 单 模 光 纤 和 光线 特性 》; 多 模 光 纤 
的 标准 主要 是 ITU-T G. 651 《50/A125 pm 多 模 渐 变 折射 率 光 纤 和 光缆 特性 》。 我 国 的 光纤 标准 
包括 国家 标准 GBAT 15912 系列 和 信息 产业 部 颁布 的 通信 行业 标准 YDAT 系列 。 关 于 光纤 详 
细 的 性 能 参数 ， 建 议 查阅 相关 国际 标准 和 国内 标准 ， 熟 悉 光 纤 的 技术 指标 ， 有 利于 合理 选用 
单 模 和 多 模 光 纤 。 


5.3.4 光缆 与 光纤 连接 器 


1. 光缆 的 概念 与 分 类 

光缆 是 一 种 传输 光束 的 细微 而 柔韧 的 传输 介质 。 光 缆 由 一 捆 纤 蕊 组 成 ， 是 数据 传输 中 最 
有 效 的 一 种 传输 介质 。 光 缆 一 般 可 以 分 为 以 下 三 类 : 

1) 按 敷 设 方式 分 有 : 自 承重 架空 光缆 、 管 道光 缆 、 铠 装 地 埋 光 缆 和 海底 光缆 。 

2) 按 光 缆 结 构 分 有 : 束 管 式 光 缆 、 层 绞 式 光缆 、 紧 抱 式 光缆 、 带 式 光 缆 、 非 金属 光线 
和 可 分 文苑 缆 。 

3) 按 用 途 分 有 : 长 途 通 信用 光缆 、 短 途 室外 光缆 、 混 合 光 缆 和 建筑 物 内 用 光缆 。 

这 些 光 缆 使 用 不 同 的 光纤 作为 纤 芯 ， 并 采用 不 同 的 方法 制 成 各 种 各 样 的 光缆 。 常 见 的 有 
GYTA 光缆 、GYTS 光缆 、GYXY 光缆 、GYTA53 光缆 、GYTY53 光缆 等 多 种 单 模 或 多 模 光 
缆 ， 如 GYTA 是 一 种 松 套 层 绞 式 非 馆 装 光缆 ， 是 室外 光缆 的 一 种 ， 可 管道 、 可 架空 。GYTA 
光缆 是 将 230km 光纤 套 人 高 模 量 材料 制 成 的 松 套 管 中 ， 松 套 管内 填充 防水 化 合 物 。 缆 芯 的 
中 心 是 一 根 金属 加 强 芯 ， 对 于 某 些 芯 数 的 光缆 来 说 ， 金 属 加 强 芯 外 还 需 挤 上 一 层 聚 乙烯 
(PE)。 松 套 管 ( 和 填充 强 ) 围绕 中 心 加强 芯 绞 合 成 紧凑 的 圆 形 的 缆 芯 ， 缆 芯 内 的 缝 院 充 以 
阻 水 填充 物 。 涂 塑 铝 带 (APL) 纵 包 后 挤 制 聚 乙 烯 护 套 成 缆 。 
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GYTS 光缆 是 把 9/125pm 单 模 光纤 或 50/125pm、62.5/125pm 多 模 光 纤 〈 二 氧化 硅 ) 
套 进 用 高 等 阻 水 材料 制 成 的 松 套 管 中 ， 松 套 管 内 填充 阻 水 化 合 材料 。 缆 芯 的 中 心 是 一 根 金属 
加 强 芯 ， 对 于 多 芯 光 缆 来 说 加 强 芯 需 外 加 一 层 PE 外 套 。 松 套 管 和 填充 绳 围绕 中 心 加 强 芯 互 
绞 紧 凑 成 圆 形 的 缆 芯 。 缆 芯 内 的 缝 除 充 加 阻 水 填充 物 。 双 面 皱纹 钢 带 (PSP) 纵 包 后 挤 制 聚 
乙烯 护 套 成 缆 。 

两 种 常见 的 光缆 如 图 5-12 所 示 。 






中 心 金属 加 强 艺 
松 套 管 
纤 谊 





线 谨 
GYTA 单 模 / 多 模 光 缆 GYTS 单 模 / 多 模 光 线 


图 5-12 两 种 常见 的 光 比 


2. 光纤 连接 器 

光纤 连接 磊 ( 又 称 光 纤 跳 线 ) 是 在 一 段 光纤 两 端 安装 连接 插 涉 ， 在 光纤 与 光纤 之 间 进 
行 可 拆 纯 (活动 ) 连接 的 器 件 。 它 是 把 光纤 的 两 个 端面 精密 对 接 起 来 ， 以 使 发 射 光 纤 输 出 
的 光 能 量 能 最 大 限度 地 耦合 到 接收 光纤 中 去 ， 并 使 由 于 其 介入 光 链 路 而 对 系统 造成 的 影响 减 
到 最 小 ， 这 是 光纤 连接 器 的 基本 要 求 。 在 一 定 程 度 上 ， 光 纤 连 接 顺 也 影响 了 光 传 输 系 统 的 各 
项 性 能 。 下 面 对 网 络 工程 中 几 种 常用 的 光纤 连接 噩 进行 简单 的 说 明 。 

1) FC 型 光纤 连接 器 : 外 部 加 强 方式 是 采用 金属 套 ， 紧 固 方式 为 螺钉 扣 ， 金 属 双 重 配合 
螺旋 终止 型 结构 。 一 般 在 ODF 配 线 架 上 采用 。 

2) SC 型 光纤 连接 需 : 连接 CBIC 光 模 块 的 连接 大 ， 紧 固 方式 是 采用 插 拔 销 门 式 ， 不 须 
旋转 ， 抢 形 塑 料 搬 拔 式 结构 ; 特点 是 容易 拆 装 。 多 用 于 多 根 光 纤 与 空间 紧凑 的 法 兰 之 间 的 连 
接 。 

3) ST 型 光纤 连接 器 : 常用 于 光纤 配 线 架 ， 外 壳 呈 圆 形 ， 紧 固 方式 为 螺钉 扣 ， 人 金属 圆 形 
卡 口 式 结构 ; 常用 于 光纤 配 线 架 。 

4) LC 型 光纤 连接 絮 : 连接 SFP 模块 的 连接 器， 它 采 用 操作 方便 的 模块 化 插 孔 (RJ) 
门 锁 机 理 制 成 ， 稼 用 在 在 路 由 天 接 口上 。 

5) MT-RJ: 收发 一 体 的 方形 光纤 连接 右 。 

以 上 是 指 接头 与 光纤 桥接 事 (法 兰 盘 ) 之 间 的 连接 形式 ， 这 些 结构 主要 是 实现 接头 与 
法 兰 盘 之 间 的 坚固 连接 ， 并 将 两 端 光 纤 的 轴线 引导 到 一 条 线 上 。 

按 光 纤 端 面 形状 分 有 FC、PC 〈 包 括 SPC 或 UPC) 和 APC， 连 接 需 插 必 连接 的 损耗 应 该 
是 越 小 越 好 ， 因 此 ， 对 于 活动 接头 的 端面 的 要 求 比 较 高 。 以 下 是 针对 端面 而 制定 的 一 些 标准 
形式 : 
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1) PC 型 : 端面 呈 球 形 ， 接 触 面 集中 在 端面 的 中 央 ， 反射 损耗 为 35dB， 多 用 于 测量 仪 
船 。 

2) APC 型 : 接触 端的 中 央 部 分 仍 保持 PC 型 的 球面 ， 但 端面 的 其 他 部 分 加 工 成 斜面 ， 
使 端面 与 光纤 轴线 的 夹 角 小 于 90" ， 这 样 可 以 增加 接触 面积 ， 使 光 耦 合 更 加 紧密 。 当 端面 与 
光纤 轴线 夹 角 为 8" 时， 插入 损耗 小 于 0.5dB。 罕 带 (155Mbit/s 以 下 ) 光 传 输 系统 中 常 采 用 
这 种 结构 的 接头 。 

3) UPC 型 : 超 平面 连接 ,加 工 精密 ,连接 方便 ， 反 射 损耗 为 50d4B， 和 常用 于 宽带 
(155Mbit/s 及 以 上 ) 光纤 传输 系统 中 。 

光纤 接口 连接 做 的 种 类 如 图 5-13 所 示 。 














p | 





ST/PC FC/APC 
mm pe 六 
\ PO 
- p Od 
SC/APC MTRJ FC/UPC-FC/UPC LC/PC 


图 5-13 ”光纤 接口 连接 器 的 种 类 
5.4 综合 布线 系统 设计 


5.4.1 综合 布线 系统 设计 原则 


结构 化 综合 布线 系统 (PDS) 的 建设 是 一 个 综合 的 、 统 一 的 信息 系统 工程 ， 其 中 设计 是 
最 重要 的 前 期 工作 。 纤 合 布线 系统 方案 的 设计 一 般 章 循 以 下 原则 : 

1) 实用 性 : 满足 当前 及 未 来 的 发 展 需求 ， 满 足 办 公 眉 动 化 和 计算 机 网 络 系统 对 布线 系 
统 的 需求 ， 同 时 兼容 话音 、 数 据 、 图 像 的 传输 。 

2) 兼容 性 : 是 综合 布线 系统 必 备 的 首要 特点 。 所 谓 兼容 性 是 指 综合 布线 本 身 是 完全 独 
立 、 与 应 用 系统 相对 无 关 、 可 适应 多 种 应 用 的 系统 。 综 合 布线 将 语音 、 数 据 与 监控 设备 经 过 
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统一 规划 和 设计 ， 采 用 相同 的 传输 介质 、 信 息 揪 座 、 交 连 设备 、 适 配 需 等 ， 把 这 些 不 同 信和 号 
综合 到 一 套 标准 的 布线 中 。 因 此 ， 结 构 化 〈 模 块 化 ) 综合 布线 比 传统 布线 大 为 简化 ， 节 省 
了 大 量 物资 、 时 间 和 空间 。 

3) 开放 性 : 结构 化 综合 布线 系统 采用 的 是 开放 式 体系 结构 ， 符 合 多 种 国际 上 现行 的 标 
准 ， 满 足 几 乎 所 有 著名 厂商 产品 的 应 用 需求 ， 支 持 所 有 通信 协议 。 

4) 灵活 性 : 结构 化 综合 布线 系统 为 开放 式 结构 ， 能 支持 话音 及 多 种 计算 机 数据 系统 ， 
比如 支持 会 议 电 视 、 多 媒体 等 系统 。 即 任 一 信息 点 能 够 连接 不 同类 型 的 设备 ， 如 计算 机 、 打 
印 机 、 终 端 或 电话 、 传 真 机 ， 因 此 充分 体现 了 其 灵活 性 的 特点 。 

5) 模块 化 : 在 综合 布线 系统 中 ， 除 去 固定 在 建筑 物 内 的 线 绕 外 ， 其 余 所 有 的 接 插件 都 
是 积木 式 的 标准 件 ， 因 此 便于 管理 和 使 用 。 

6) 扩充 性 : 由 于 综合 布线 系统 是 结构 化 的 ， 因 此 比较 容易 实行 系统 的 扩充 ， 在 将 来 有 
新 的 需求 时 ， 就 能 比较 容易 地 实现 设备 的 扩展 。 此 外 ， 结 构 化 综合 布线 通常 采用 树 状 星 形 结 
构 ， 以 支持 目前 和 将 来 各 种 网 络 的 应 用 ， 并 通过 跳 线 和 不 同 网 络 设备 ， 实 现 各 种 不 同 逻 辑 拓 
扑 结构 的 网 络 ， 因 此 当 系 统 需要 扩充 时 仅 需 在 相关 节点 上 增加 新 的 线 缆 即 可 。 

7) 标准 性 : 满足 最 新 、 最 高 的 布线 系统 标准 (如 中 华人 民 共 和 国 建设 部 于 2007 年 制 
定 的 GB 50311 一 2007《 综 合 布线 系统 工程 设计 规范 》， 国 际 标准 : ISOZIEC 11801 、 欧 洲 标 
准 : EN50173 等 ) 的 要 求 。 

8) 可 靠 性 : 综合 布线 系统 在 设计 时 都 会 充分 考虑 系统 的 长 期 性 和 可 靠 性 等 ， 同 时 在 实 
施 时 都 使 用 具有 高 可 靠 性 的 机 柜 型 配 线 系统 为 核心 ， 提 高 了 系统 的 可 靠 性 和 安全 性 。 

9) 经 济 性 : 在 满足 应 用 要 求 的 基础 上 ， 尽 可 能 降低 造价 ， 实 现 最 优 的 性 能 价格 比 。 


5.4.2 综合 布线 系统 设计 标准 


做 综合 布线 系统 设计 时 ， 要 依据 我 们 国家 的 或 行业 协会 制订 的 相关 标准 和 技术 要 求 ， 进 
行 综 合 布线 系统 工程 的 规划 设计 。 

《民用 建筑 电气 设计 规范 》JGJ16 一 2008 

《建筑 设计 防火 规范 》GB 50016 一 2006 

《智能 建筑 设计 标准 》GBZT 50314 一 2006 

《建筑 智能 化 系统 工程 设计 管理 暂行 规定 》 建 设 部 [1997] 290 号 

《智能 建筑 弱电 工程 设计 施工 图 集 》 中 国 建筑 标准 设计 研究 所 、 工 程 建 设 标准 设计 分 会 
弱电 专业 委员 会 97X700 

《民用 闭路 监视 电视 系统 工程 技术 规范 》GB 50198 一 2011 

《高 层 民用 建筑 设计 防火 规范 》GB 50045 一 1995 

《电子 信息 系统 机 房 设计 规范 》GB 50174 一 2008 

《建筑 物 防 雷 设计 规范 》GB 50057 一 2010 

《智能 建筑 设计 标准 》GCBZT 50314 一 2006 

《信息 技术 一 用 户 通 用 布线 系统 》1ISO/IEC11801 

《商务 楼 通信 建筑 布线 标准 》 EIAATIA568A 

《商务 楼 通信 通道 和 空间 标准 》EIA/ATIA569 

《大 楼 通信 综合 布线 系统 总 规范 》YD/T926 
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《计算 机 场地 通用 规范 》 CB/T 2887 一 2011 
《电磁 兼容 标准 》 下 N5022 

《 非 屏蔽 双 绞 线 传输 性 能 标准 》EIA/TIA TSB67 
《综合 布线 系统 工程 设计 规范 》GB 50311 一 2007 


5.4.3 综合 布线 系统 设计 步骤 


根据 通信 工程 建设 特点 ， 毕 合 布线 设计 人 员 在 设计 施工 图 时 ， 可 根据 以 下 步骤 进行 设 
计 : 

1) 获取 建筑 物 平 面 图 : 到 施工 现场 与 用 户 沟通 并 获得 建筑 施工 平面 图 。 

2) 进行 现场 勘查 : 在 获得 建设 施工 平面 图 后 到 施工 现场 进行 现场 勘查 。 

3) 获取 用 户 需 求 : 了 解 最 终 用 户 的 实际 需求 ， 进 而 确定 系统 需求 。 

4) 设计 系统 结构 : 根据 建筑 结构 特点 和 用 户 需 求 设计 布线 系统 结构 。 

5) 设计 布线 路 由 : 根据 建筑 施工 平面 图 和 用 户 需 求 设计 布线 系统 路 由 。 

6) 绘制 布线 施工 图 : 根据 建筑 施工 平面 图 和 用 户 需 求 信息 设计 布线 系统 施工 图 。 

7) 编制 布线 用 料 清单 : 根据 布线 系统 施工 图 编制 布线 系统 所 需 的 用 料 清单 。 


5.4.4 综合 布线 系统 设计 时 需 考虑 的 问题 


由 于 综合 布线 系统 通常 都 是 覆盖 一 个 建筑 物 群 或 几 个 建筑 物 群 ， 因 此 在 整个 综合 布线 系 
统 的 设计 过 程 中 ， 必 须 充 分 考虑 建筑 物 的 实际 情况 ， 依 据 建筑 物 的 实际 建筑 结构 进行 各 个 子 
系统 的 设计 工作 。 

1. 建筑 物 综合 布线 系统 设计 等 级 的 确定 

一 般 来 说 ， 综 合 布线 系统 的 设计 等 级 是 根据 客户 的 需求 给 客户 提供 的 不 同 服务 等 级 ， 系 
统 设计 等 级 通常 分 为 基本 型 、 增 强 型 和 综合 型 三 大 类 ， 具 体 等 级 区 分 如 下 。 

(1) 基本 型 

基本 型 设计 等 级 可 以 满足 对 语音 、 数 据 或 高 速 数据 系统 的 使 用 需求 ， 满 足 多 种 计算 机 系 
统 数据 传输 的 需求 ， 并 且 工 程 造价 较 低 。 基 本 型 设计 等 级 通常 采用 铜 制 电缆 布 网 ， 目 的 是 便 
于 日 常 维护 管理 ， 且 技术 要 求 不 高 其 次 采用 气体 放电 管 式 过 电压 保护 和 自 恢复 的 过 电流 保 
护 。 因 此 ， 基 本 型 设计 等 级 是 我 国 目前 普遍 采用 的 布线 方案 。 

(2) 增强 型 

增强 型 设计 等 级 每 个 工作 区 有 两 个 以 上 的 信息 插座 ， 不 仅 灵活 机 动 、 功 能 齐全 ， 还 能 适 
应 今后 发 展 的 要 求 。 任 何 一 个 信息 插座 都 可 提供 话音 和 数据 系统 等 多 种 服务 。 采 用 以 铜 芯 
线 为 主 的 组 网 方式 ， 利 用 端子 板 管理 ， 使 用 统一 色 标 ， 简 单方 便 ， 利 于 维护 。 能 适应 多 种 产 
品 的 要 求 ， 具 有 适应 性 强 、 经 济 有 效 等 特点 。 

(3) 综合 型 

综合 型 适用 于 综合 布线 系统 中 配置 标准 较 高 的 场合 ， 使 用 光缆 和 铜 芯 双 绞 线 组 网 。 综 合 
型 综合 布线 系统 应 在 基本 型 和 增强 型 综合 布线 系统 的 基础 上 增设 光缆 系统 。 综 合 型 布线 系统 
的 主要 特点 是 引入 光缆 ， 能 适用 于 规模 较 大 的 智能 大 厦 ， 其 余 与 基本 型 或 增强 型 相同 。 

2. 建筑 物 综合 布线 系统 的 链 路 及 应 用 级 别 

(1) 链 路 指标 


144 


























第 5 章 综合 布线 系统 “| 








综合 布线 系统 中 的 链 路 是 指 两 个 接口 之 间 所 具有 的 规定 性 能 的 传输 通道 ， 在 链 路 中 不 包 
括 终 端 设备 、 设 备 电缆 〈 光 缆 ) 和 工作 区 电缆 〈 光 缆 ) 。 图 5-14 所 示 的 综合 布线 系统 中 水 
平 布线 模型 展示 了 链 路 的 传输 通道 。 




















C 一 连接 插座 





图 5-14 ”综合 布线 系统 中 水 平 布线 模型 


(2) 链 路 的 应 用 级 别 
综合 布线 系统 在 设计 时 ， 必 须根 据 智能 化 建筑 的 客观 需要 和 用 户 的 具体 需求 来 选用 综合 
布线 系统 的 链 路 ， 链 路 的 应 用 级 别 通常 有 5 种 ， 不 同 的 应 用 级 别 对 应 不 同 的 服务 范围 及 技术 
要 求 。 综 合 布线 系统 链 路 的 应 用 级 别 见 表 5-6。 
表 5-6 综合 布线 系统 链 路 的 应 用 级 别 
































































































































序号 | 应 用 级 别 布线 链 路 传输 媒质 应 用 场合 支持 应 用 的 链 路 级 别 频率 
1 | A 级 | A 级 对 称 电缆 布线 链 路 话音 带宽 和 低频 信号 | 最 低速 率 的 级 别 ， 支 持 A 级 | 100kHz 以 下 
证 1 寺 率 光 
2 | B 级 | B 级 对 称 电缆 布线 链 路 本 于) 数 支持 有 级 和 人 级 的 应 用 。 | 1MHz 以 下 
光志 
高 速 (高 比特 率 ) 关 持 C 级 、B 乡 A 级 的 已 
和 C 级 对 称 电缆 布线 链 路 区 (高 比特 率 ) 数 | 支持 C 级 级 和 A 级 的 应 ei 
字 信 和 号 用 
超 高 速 ( 超 高 比特 | 支持 D 级 、C 级 、B 级 和 A 
4 D 级 D 级 对 称 电缆 布线 链 10MHz 以 下 
电 引 布 绕 链 路 。。 | 率 ) 数字 信号 级 的 应 用 
光缆 布线 链 路 按 光 纤 分 为 单 支持 光缆 级 的 应 用 ， 支 持 伟 
高 速 和 超 高 速 的 数字 10MHz 及 其 
5 | 光缆 级 模 光 纤 和 多 模 光 纤 ， 其 光纤 参 | 司 束 的 数学 | 输 速率 10MHz 及 以 上 的 各 种 应 yi 
数 也 有 相应 规定 是 用 
注 ; 1. 单 模 光 纤 光缆 按 通信 用 单 模 光 纤 系列 规定 的 BLI 类 光纤 要 求 。 
2 多 模 光 纤 光 缆 按 通信 用 多 模 光 纤 系列 规定 的 Ala 和 Ab 型 光纤 要 求 。 
































3. 允许 采用 的 光纤 形式 为 50pm/125 pm 多 模 光 纤 和 8. 3pm/125pm 单 模 光纤 ， 推 荐 采用 的 光纤 形式 为 62. 5pm/ 
125um 多 模 光 纤 。 


5.4.5 综合 布线 各 子 系统 设计 


1. 工作 区 子 系统 设计 
工作 区 子 系统 是 由 终端 设备 以 及 信息 插座 的 连 线 〈 或 跳 线 ) 组 成 ， 我 们 称 它 为 工作 区 。 
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工作 区 所 含 的 设备 主要 有 : 连接 右 、 跳 线 、 信 息 插座 和 终端 设备 等 。 根 据 使 用 位 置 不 同 可 将 
言 息 插座 分 成 墙 上 型 、 地 上 型 、 桌 上 型 等 多 种 。 其 结构 主要 有 RJ45、RJ-11 及 单口 、 双 口 、 
多 口 等 。 在 工作 区 子 系统 中 ， 跳 线 主 要 是 连接 终端 设备 和 输入 /输出 〈LIO) 终端 设备 ， 主 
要 包括 电话 、 计 算 机 和 数据 终端 ， 也 可 以 是 仪器 仪表 、 传 感 带 的 探测 需 等 设备 。 工 作 区 子 系 
统 示意 图 如 图 5-15 所 示 。 











工作 区 子 系统 








图 5-15 工作 区 子 系统 示意 图 





在 设计 工作 区 子 系统 时 ， 首 先 需 要 确定 系统 的 规模 ， 然 后 根据 系统 规模 确定 系统 所 含 内 
容 ， 具 体内 容 主 要 包括 以 下 几 个 方面 : 

1) 综合 布线 系统 工作 区 内 线 槽 的 敷设 要 整齐 、 美 观 。 

2) 确定 系统 中 所 需要 的 信息 插座 后 ， 将 信息 插座 设计 在 距离 地 面 30cm 以 上 的 位 置 ; 
同时 考虑 为 将 来 的 扩充 留 出 一 定 的 元 余 。 

3) 信息 插座 与 计算 机 设备 的 距离 保持 在 5m 范围 内 。 

4) 选用 符合 要 求 的 适配器 ， 即 网 卡 接口 类 型 要 与 线 线 接 口 类 型 保持 一 致 。 

5) 所 有 综合 布线 系统 工作 区 所 需 的 信息 模块 、 信 息 插座 、 面 板 等 必须 符合 相关 标准 ， 
同时 设计 数量 必须 准确 。 

6) 每 个 工作 区 至 少 应 配置 一 个 220V 交流 电源 插座 。 

7) 工作 区 子 系统 布线 的 线 缆 长 度 必 须 满 足 要 求 。 

当 确 定 信息 插 座 的 类 型 后 ， 就 可 以 确定 信息 插座 的 安装 方式 。 工 作 区 信息 点 的 信息 插座 
在 安装 时 建议 安装 在 离 地 30cm、 离 电源 20cm 的 位 置 。 工 作 区 信息 点 的 信息 底 盒 暗 装 于 墙 体 
中 ， 并 和 电源 插座 处 在 同一 平行 位 置 ， 保 证 整体 的 美观 协调 。 信 息 点 的 安装 位 置 示意 图 如 图 
5-16 所 示 。 

2. 水 平 干线 子 系统 的 设计 

水 平 干线 子 系统 是 指 从 工作 区 的 信息 插座 开始 到 管理 间 子 系统 配 线 架 间 的 部 分 。 水 平 干 
线 子 系统 的 设计 涉及 介质 主要 有 传输 介质 和 部 件 ， 其 主要 设计 内 容 包 括 : 线路 走向 ， 线 缆 、 
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线 槽 、 管 的 数量 和 类 型 ， 电 缆 的 类 型 和 长 度 ， 订 购 电线 和 线 槽 ， 若 打 吊 杆 走 线 槽 时 所 需 的 吊 
杆 数量 ， 不 用 吊 杆 走 线 槽 时 所 需 的 托 架 数量 。 








图 5-16 信息 点 的 安装 位 置 示意 图 


其 中 ， 线 路 走向 的 确定 一 般 需要 由 用 户 、 设 计 人 员 、 施 工人 员 根 据 现场 建筑 物 的 物理 位 
置 和 施工 难 易 度 来 确定 ; 而 信息 插座 的 数量 和 类 型 、 电 缆 的 类 型 和 长 度 一 般 在 总 体 设计 时 便 
已 确定 ， 但 考虑 到 产品 质量 和 施工 人 员 的 误 操 作 等 因素 ， 在 配置 施工 材料 时 要 留 出 一 定量 的 
元 余 来 。 水 平 干线 子 系统 示意 图 如 图 5-17 所 示 。 

水 平 干线 子 系统 的 设计 要 求 主要 包 水 平 干线 子 系统 
括 水 平 干线 子 系统 长 度 及 转 接点 要 求 两 
部 分 内 容 。 首 先 ， 水 平 干线 子 系统 布线 
的 线路 长 度 不 得 超过 90m， 水 平 跳 线 之 
和 (工作 区 跳 线 、 配 线 面 板 跳 线 ) 不 超 
过 10m， 在 具体 设计 时 设计 者 需 根据 建 
筑 物 的 结构 特点 ， 从 室内 美观 、 路 由 图 5-17 ”水平 干线 子 系统 示意 图 
( 线 ) 最 短 、 造 价 最 低 、 施 工 方便 、 布 
线 规范 等 方面 进行 综合 考虑 ， 从 而 确定 水 平 干线 子 系统 的 最 佳 布线 方案 ; 其 次 ,干线 子 系统 
中 不 允许 有 转 接 点 ， 且 语音 和 数据 电缆 要 区 分 开 ， 干线 线 绕 的 交接 不 应 超过 2 次 ,电缆 的 限 
制 距离 和 带宽 不 能 满足 需要 时 应 使 用 光缆 。 图 5-18 所 示 为 水 平 干线 子 系统 布线 线 缆 长 度 示 
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工作 区 子 系统 





图 5-18 ”水 平 干线 子 系统 布线 线 绕 长 度 示 意图 
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3. 垂直 干线 子 系统 的 设计 

垂直 干线 子 系统 由 连接 主 设备 间 至 各 楼 层 配 线 间 之 间 的 线 缆 构 成 。 其 功能 是 把 各 分 层 配 
线 架 与 主 配 线 架 相 连 ; 其 任务 是 通过 建筑 物 内 部 的 传输 电缆 ， 把 各 个 楼 层 管理 间 的 信号 通过 
设备 间 和 终端 接口 送 往 外 部 网 络 ; 
其 目的 是 用 主干 电线 提供 楼 层 之 
间 通 信 的 通道 ， 使 整个 布线 系统 
组 成 一 个 有 机 的 整体 ， 既 满足 当 
前 需求 ， 又 适应 今后 的 发 展 需要 。 
垂直 干线 子 系统 的 布线 结构 通常 
采用 分 层 星 形 拓扑 结构 ， 即 每 个 









































楼 层 配 线 间 均 需 采用 垂直 主干 线 本 
绕 连 接 到 大 楼 主 设备 间 ， 而 垂直 

主干 线 统 和 水 平 系统 线 绕 之 间 的 

连接 需要 通过 楼 层 管理 间 的 跳 线 图 5-19 ”垂直 干线 子 系统 示意 图 





来 实现 。 垂 直 干 线 子 系统 示意 图 如 图 5-19 所 示 。 

根据 垂直 干线 子 系统 示意 图 可 看 出 其 设计 范围 是 : 各 楼 层 管理 间 与 设备 间 之 间 的 电缆 所 
使 用 的 竖 向 或 横向 通道 、 主 设备 间 与 计算 机 中 心 主机 房间 的 电缆 、 主 设备 间 与 建筑 物 电 缆 入 
口 之 间 的 电线 等 。 此 外 ， 在 设计 时 应 尽量 使 干线 电线 的 位 置 位 于 建筑 物 的 中 心 ， 同 时 缆 线 不 
应 布 放 在 电梯 、 供 水 、 供 气 、 供 暧 、 强 电 等 竖井 中 。 

4. 设备 间 子 系统 的 设计 

设备 间 通 常 是 设置 在 每 蛋 大 楼 的 适当 位 置 ， 并 进行 网 络 管理 以 及 管理 人 员 值班 的 场所 。 
设备 间 子 系统 由 综合 布线 系统 的 建筑 物 进 线 设 备 、 电 话 、 数 据 、 计 算 机 等 各 种 主机 设备 及 其 
保安 配 线 设备 等 组 成 。 这 些 设备 及 其 保安 配 线 设备 宜 设置 在 一 个 房间 内 ， 必 要 时 ， 可 以 分 别 
设置 ,但 程控 电话 交换 机 及 计算 机 主机 房 离 设 备 间 的 距离 不 宜 太 和 远 。 

此 外 ,设备 间 内 的 所 有 进 线 终端 设备 应 该 采用 色 标 区 别 各 种 不 同 用 途 的 配 线 区 ， 从 而 便 
于 用 户 对 整个 系统 的 管理 。 设 备 间 子 系统 示意 图 如 图 5-20 所 示 。 














图 5-20 设备 间 子 系统 示意 


(1) 设备 间 子 系统 位 置 的 选择 

设备 间 子 系统 是 一 个 公用 设备 存放 的 场所 ， 也 是 日 常 管理 设备 的 地 方 。 在 确定 设备 间 的 
位 置 时 应 根据 建筑 物 的 结构 、 综 合 布线 规模 、 管 理 方式 以 及 应 用 系统 设备 的 数量 等 进行 综合 
考虑 ， 择 优选 取 。 在 具体 确定 时 可 遵循 以 下 原则 : 
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1) 应 尽量 建 在 建筑 物 平 面 及 其 综合 布线 干线 子 系统 的 中 间 位 置 或 者 在 1、2 层 ， 并 尽 

可 能 靠近 建筑 物 电缆 引 入 区 和 网 络 接口 ， 以 方便 干线 线 缆 的 进出 。 

2) 应 尽量 靠近 服务 电梯 ， 以 便装 和 运 笨重 设备 。 

3) 应 尽量 避免 设 在 建筑 物 的 高 层 或 地 下 室 以 及 用 水 设备 的 下 层 。 

4) 应 尽量 远离 强 振动 源 和 强 噪声 源 。 

5) 应 尽量 避 开 强 电 磁场 的 干扰 源 。 

6) 应 尽量 远离 有 害 气 体 源 以 及 存放 腐蚀 、 易 燃 物 的 地 方 。 

7) 设备 间 应 该 能 为 将 来 可 能 安装 的 所 有 装备 提供 足够 的 空间 。 

8) 设备 间 的 位 置 应 选择 在 环境 安全 、 和 干燥 通 风 、 清 洁 明 之 和 便于 维护 管理 的 地 方 。 

9) 设备 间 的 位 置 应 便于 安装 接地 装置 ， 根 据 房屋 建筑 的 具体 条 件 和 通信 网 络 的 技术 要 
按照 接地 标准 选用 切实 有 效 的 接地 方式 。 

(2) 设备 间 的 建筑 要 求 

在 进行 设备 间 建 筑 结构 的 设计 时 需 依据 设备 大 小 、 设 备 搬运 以 及 设备 重量 等 因素 而 设 
计 。 设 备 间 的 高 度 一 般 为 2. 5 ~3.2m。 设备 间 门 的 大 小 至 少 为 高 2. Im， 宽 1. 5m。 设备 间 的 
楼 板 承重 设计 一 般 分 为 两 级 : A 级 二 500kg/ m ; B 级 300kg/ mm。 

(3) 设备 间 子 系统 的 环境 要 求 

由 于 设备 间 子 系统 内 放置 着 大 量 精密 的 电子 设备 ， 如 计算 机 、 计 算 机 网 络 设备 、 电 话 程 
控 交 换 机 、 建 筑 物 自 动 化 控制 设备 等 硬件 设备 ， 设 备 的 性 能 和 运行 状况 容易 受到 外 界 环境 
(主要 指 温度 、 湿 度 、 供 电 、 防 火 和 防 人 尘 ) 的 影响 ， 因 此 在 设计 时 必须 对 设备 间 环 境 问 题 进 
行 认真 考虑 。 设 备 间 内 的 环境 设置 可 以 参照 国家 标准 《电子 信息 系统 机 房 设计 规范 》 (GB 
50174 一 2008 ) 等 相关 标准 及 规范 。 

1) 温度 、 湿 度 要 求 。 网 络 设 备 间 对 温度 和 湿度 的 要 求 比较 高 ， 一 般 将 温度 和 湿度 分 为 
A、B、C 级， 设备 间 可 按 某 一 级 执行 ， 也 可 以 综合 执行 。 在 设计 设备 间 温 、 湿 度 时 可 参照 3 
个 级 别 进行 设计 。 设 备 间 三 级 别 湿 度 和 温度 参数 表 见 表 5-7 。 

表 5-7 设备 间 三 级 别 湿度 和 温度 参数 表 
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项 目 A 级 B 级 C 级 
夏季 : 22 +4 
温度 /%C 12 ~30 8 ~35 
Ss 冬季 : 18 +4 
相对 湿度 40% ~65% 35% ~70% 20% ~ 80% 


设备 间 的 温度 、 湿 度 和 人 尘埃 对 微 电 子 设备 的 正常 运行 及 使 用 寿命 都 有 很 大 的 影响 ， 过 高 
的 室温 会 使 元 件 失 效率 急剧 增加 ， 使 用 寿命 下 降 ; 过 低 的 室温 又 会 使 磁 介 质变 脆 ， 容 易 断 
裂 。 温 度 的 波动 会 产生 “ 电 噪 声 ”， 使 微 电 子 设备 不 能 正常 运行 。 相 对 湿度 过 低 ， 容 易 产 生 
静电 ， 对 微 电 子 设备 造成 干扰 ; 相对 湿度 过 高 ， 会 使 微 电 子 设备 内 部 焊 点 和 插座 的 接触 电阻 
增 大 。 人 尘埃 或 纤维 性 颗粒 积聚 ， 以 及 微生物 的 作用 还 会 使 导线 腐蚀 断 掉 。 所 以 在 设计 设备 间 
时 ,除了 按 《 计 算 机 场地 通用 规范 》 (GBAT 2887 一 2011 ) 执行 外 ， 还 应 根据 具体 情况 选择 
安装 独立 的 空调 系统 。 空 调 系统 的 主要 功能 是 满足 环境 温度 、 湿 度 以 及 通风 量 的 要 求 ， 即 加 
热 或 降温 ， 调 节 空 气 的 温度 ; 加 湿 或 降 湿 ， 调 节 空 气 的 湿度 ; 增强 空气 的 流动 速度 ;增加 空 
气 的 洁净 程度 。 
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2) 防 尘 要 求 。 设 备 间 内 的 电子 设备 对 尘埃 要 求 较 高 ， 人 尘埃 过 多 会 影响 设备 的 正常 工 
作 ， 降 低 设 备 的 工作 寿命 。 此 外 ， 设 备 间 地 面 一 般 应 先 刷 防 侍 绝缘 漆 进 行 处 理 以 增强 设备 间 
的 防 侍 功能 。 设 备 间 的 尘埃 指标 一 般 可 分 为 A、B 两 级 ， 其 具体 尘埃 量度 表 见 表 5-8 。 
表 5-8 设备 间 两 级 别 尘 埃 量度 表 














项 目 A 级 B 级 
粒度 /pm >0.5 >0.5 
个 数 / ( 粒 /dms ) <10000 <18000 


3) 电磁 场 干扰 及 噪声 要 求 。 设 备 间 内 无 线 电 干扰 场 强 在 频率 0. 15 ~ 1000MHz 范围 内 ， 
磁场 干扰 场 强 不 大 于 800A/m ， 噪 声 应 小 于 70dB。 如 果 长 时 间 在 70 ~ 80dB 的 噪声 环境 下 工 
作 ， 会 严重 影响 人 的 身心 健康 和 工作 效率 。 

4) 电力 供应 要 求 。 设 备 间 供电 电源 应 满足 频率 为 S0Hz， 电 压 为 380V7Z220V， 相 数 为 三 
相 五 线 制 、 三 相 四 线 制 或 单 相 三 线 制 的 要 求 。 

设备 间 内 供电 总 容量 是 将 设备 间 内 存放 的 每 台 设备 用 电量 的 标 称 值 相 加 后 ， 再 乘 以 系数 
得 到 的 。 从 电源 室 ( 房 ) 到 设备 间 使 用 的 电缆 ， 除 应 符合 CBJ232 一 1982《 电 气 装置 安装 工 
程 施 工 及 验收 规范 》 中 配 线 工程 的 规定 外 ， 载 流量 应 减少 50% 。 设 备 间 内 的 设备 所 用 的 配 
电 柜 应 设置 在 设备 间 内 ， 并 应 采取 防 触电 措施 。 

此 外 ， 设 备 间 应 采用 UPS 不 间断 电源 ， 以 防止 停电 造成 网 络 通信 中 断 。UPS 电源 应 提 
供 不 低 于 2h 的 后 备 供电 能 力 。UPS 功率 大 小 应 根据 网 络 设备 功率 进行 计算 ， 并 具有 20% ~ 
30% 的 余 量 ; 同时 设备 间 电 源 设备 应 具有 过 电压 、 过 电流 保护 功能 ， 以 防止 对 设备 的 不 良 影 
响 和 冲击 。 设 备 间 三 级 别 供电 参数 表 见 表 5-9。 

表 5-9 设备 间 三 级 别 供电 参数 表 























项 目 A 级 B 级 C 级 
电压 变动 -5% ~ 5% -10% ~ 7% -15% ~ 10% 
频率 变动 -0.2% ~0.2% —0.5% ~0.5% -1~1 

波形 失真 率 < +5% < +7% < 土 10% 











5. 建筑 群 子 系统 的 设计 

建筑 群 子 系统 也 称 楼 宇 管 理子 系统 。 一 个 企业 或 某 政 府 机 关 可 能 分 散在 几 幢 相 邻 或 不 相 
邻 的 建筑 物 内 ,但 彼此 之 间 的 语音 、 数 据 、 图 像 和 监控 等 系统 可 用 传输 介质 和 各 种 支持 设备 
(硬件 ) 连接 在 一 起 。 连 接 各 建筑 物 系统 之 间 的 传输 介质 和 支持 设备 (硬件) 组 成 一 个 建筑 
群 综合 布线 系统 ， 连 接 各 建筑 物 之 间 的 线 线 组 成 建筑 群 子 系统 。 建 筑 群 子 系统 结构 示意 图 如 
图 5-21 所 示 。 

在 建筑 群 子 系统 中 常见 的 电缆 布线 方法 是 地 下 管道 电缆 布线 ， 管 道 系统 的 设计 方法 就 是 
把 直 埋 电线 设计 原则 与 管道 设计 结合 在 一 起 。 当 考虑 建筑 群 管道 系统 时 ， 还 要 考虑 接合 井 。 
在 建筑 群 管道 系统 中 ， 接 合 井 的 平均 间距 约 为 180m， 或 者 在 主 结合 点 处 设置 接合 井 。 接 合 
井 可 以 是 预制 的 ， 也 可 以 是 现场 并 筑 的 。 应 在 结构 方案 中 标明 使 用 哪 一 种 接合 井 。 预 制 接合 
井 是 较 佳 的 选择 。 现 场 浇 贷 的 接合 井 只 在 下 述 几 种 情况 下 才 允 许 使 用 : 该 处 的 接合 井 需 要 重 
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建 ; 该 处 需要 使 用 特殊 的 结构 或 设计 方案 ; 该 处 的 地 下 或 头顶 空间 有 障碍 物 ， 因 而 无 法 使 用 





预制 接合 井 ;作业 地 点 的 条 件 〈 例 如 沼泽 地 或 土壤 不 稳固 等 ) 不 适 于 安装 预制 人 孔 。 地 下 
管道 电线 的 布线 方式 如 图 5-22 所 示 。 
水 平 布线 子 系统 


工作 区 子 系 统 





图 5-21 建筑 群 子 系统 结构 示意 图 


6. 管理 子 系统 的 设计 


管理 子 系统 也 称 管理 间 子 系统 ， 为 连接 其 他 子 系统 提供 手段 ， 它 是 连接 垂直 干线 子 系统 


和 水 平 干线 子 系统 的 设备 。 其 主要 设备 是 配 
线 架 、HUB、 交 换 机 、 机 柜 和 电源 等 。 管 理 
子 系统 示意 图 如 图 5-23 所 示 。 

根据 管理 间 的 实际 应 用 需求 ， 需 要 在 管 
理 间 内 建立 一 个 可 调节 的 、 安 全 的 而 又 能 得 
到 保护 的 环境 系统 ， 为 此 就 需要 满足 : 室温 
保持 在 18 ~27Y ， 相 对 湿度 保持 在 30% ~ 
55% ,保持 室内 无 尘 、 通 风 良 好 ， 安 装 合适 
的 、 符 合法 规 要 求 的 消防 系统 ， 安 装 至 少 能 
耐火 1h 的 防火 墙 (从 地 板 到 天 花 板 ) 和 阻 
燃 漆 ， 确 保 至 少 有 一 扇 窗 留 作 安全 出 口 ， 确 
保 室内 至 少 有 高 度 为 2.55m 的 无 障碍 空间 ， 

















图 5-22 地 下 管道 电缆 的 布线 方式 





门 至 少 为 90 ~210cm， 地 板 的 承载 能 力 至 少 为 500kg/m ， 以 及 确保 几 是 需要 安装 布线 硬件 
的 地 方 ， 墙 壁 均 覆 六 涂 有 阻 燃 漆 的 胶合 板 或 者 采用 耐火 胶合 板 。 

当 管 理 间 的 面积 为 1.8m 时 (1.2m x1.5m)， 可 容纳 端 接 200 个 工作 区 所 需 的 连接 便 
件 和 其 他 设备 ， 知 端 接 的 工作 区 超过 200 个 ， 则 在 该 楼 层 增加 1 个 或 多 个 二 级 管理 间 。 知 管 


理 间 同 时 兼作 设备 间 时 ， 其 面积 不 应 小 于 10m 。 


在 设计 综合 布线 系统 时 ， 应 该 考虑 在 每 一 楼 层 都 设立 一 个 管理 间 用 来 管理 该 层 的 信息 
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点 ， 握 弃 以 往 几 层 共享 一 个 管理 间 子 系统 的 做 法 ,这 也 是 布线 的 发 展 趋势 。 管 理 间 中 主要 放 
置 集线器 、 交 换 机 、 配 线 架 、 语 音 S110 集 线 面板 等 网 络 连 接 及 管理 设备 。 管 理 间 子 系统 提 
供 了 与 其 他 子 系统 连接 的 手段 ， 使 得 管理 员 有 可 能 安排 或 重新 安排 路 由 ， 通 信 线 路 能 够 延续 
到 建筑 物 内 部 的 各 个 信息 插座 ， 以 实现 综合 布线 系统 的 管理 。 











图 5-23 ”管理 子 系统 示意 图 


5.5 综合 布线 系统 工程 施工 技术 


$5.5.1 综合 布线 系统 工程 施工 要 点 


首先 ， 要 做 好 施工 准备 工作 。 施 工 准 备 工 作 是 保证 综合 布线 工程 顺利 施工 ， 全 面 完 成 各 
项 技术 指标 的 重要 前 提 。 施 工 准 备 工作 一 般 可 分 为 阶段 性 施工 准备 和 作业 条 件 的 施工 准备 。 
阶段 性 施工 准备 ， 是 指 在 工程 开工 之 前 针对 工程 所 做 的 全 面 准备 工作 ; 作业 条 件 的 施工 准 
备 ， 是 指 为 某 一 施工 阶段 或 某 一 部 分 工程 或 某 个 施工 环节 所 做 的 准备 工作 ， 它 是 局 部 性 、 经 
常 性 的 施工 准备 工作 。 

1. 施工 的 基本 要 求 

1) 综合 布线 系统 工程 的 安装 施工 ， 须 按照 《建筑 与 建筑 群 综合 布线 系统 工程 验收 规 
范 》 中 的 有 关 规 定 进 行 ， 也 可 以 根据 工程 设计 要 求 进 行 。 

2) 在 智能 化 小 区 的 综合 布线 系统 工程 中 ， 凡 与 本 地 电话 网 络 有 关 ， 安 装 施工 的 基本 要 
求 应 遵循 国家 通信 行业 《本 地 电话 网 用 户 线 线路 工程 设计 规范 》 等 标准 中 的 规定 。 

3) 综合 布线 系统 工程 中 所 用 的 线 缆 类 型 和 性 能 指标 、 布 线 部 件 的 规格 和 质量 等 均 应 符 
合 我 国 通 信行 业 标准 的 规范 或 设计 文件 的 规定 。 在 工程 施工 中 ， 不 得 使 用 未 经 鉴定 的 器 材 和 
设备 。 

4) 施工 现场 要 有 方案 设计 的 技术 人 员 进 行 监督 、 指 导 ， 以 确保 传输 线路 的 工作 质量 。 

5) 布线 标记 要 清晰 、 有 序 ， 以 确保 后 续 工 作 的 正常 进行 。 

6) 要 测试 检查 已 敷设 完毕 的 线路 ， 以 确保 线路 的 畅通 、 无 误 。 要 检查 线路 标记 是 否 准 
确 无 误 ， 检 查 线路 的 敷设 是 否 与 施工 图 样 一 致 等 。 

7) 可 敷设 一 些 备用 线 线 ， 以 便 个 别 线路 出 问题 时 ， 备 用 线 缆 可 及 时 、 有 效 地 代替 这 些 
出 问题 的 线路 。 
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8) 高 、 低 压 线 须 分 开 甫 设 ， 以 避免 电 涌 干扰 。 高 、 低 压 线 平行 歼 设 时 ， 其 间隔 应 按 规 
范 中 的 相关 规定 执行 。 

2. 施工 技术 准备 

1) 施工 人 员 应 熟悉 施工 图 样 ， 了 解 设计 内 容 及 设计 意图 ， 清 楚 工 程 所 采用 的 设备 、 材 
料 和 图 样 所 提出 的 施工 要 求 ， 明 确 综合 布线 工程 与 主体 工程 和 其 他 安装 工程 的 交叉 配合 ， 以 
便 及 早 采 取 措 施 ， 不 与 其 他 工程 发 生 位 置 冲突 。 

2) 熟悉 与 工程 有 关 的 其 他 技术 资料 ， 如 施工 及 验收 规范 、 技 术 规 程 、 质 量 检验 评定 标 
准 ， 以 及 制造 厂商 提供 的 资料 ， 即 安装 使 用 说 明 书 、 产 品 合格 证 、 试 验 记录 数据 等 。 

3) 编制 具体 施工 方案 。 在 全 面 熟悉 施工 图 样 的 基础 上 ,依据 图 样 并 根据 施工 现场 情 
况 、 技 术 力 量 及 技术 装备 情况 ,综合 编制 出 合理 的 施工 方案 。 

4) 编制 工程 预算 。 工 程 预 算 包 括 工程 材料 清单 和 施工 预算 。 

3. 施工 现场 环境 与 器 材 的 准备 

(1) 施工 现场 环境 的 检查 

1) 对 综合 布线 系统 的 线 缆 施 工 现场 和 工作 区 ， 准 备 安装 的 或 现 有 的 信息 插座 、 配 线 架 
及 所 有 连接 器 件 进行 勘察 和 检查 ， 在 符合 《建筑 与 建筑 群 综合 布线 系统 设计 规范 》 和 设计 
文件 相应 要 求 后 ， 方 可 进行 安装 。 

2) 综合 布线 系统 设备 的 安装 包括 工作 区 、 交 接 间 、 设 备 间 及 进 线 间 在 内 的 环境 条 件 ， 
除了 要 适应 配 线 线 缆 和 连接 器 件 的 安装 要 求 外 ， 如 果 与 其 他 机 房 合 建 ， 还 应 满足 终端 设备 、 
计算 机 网 络 设备 、 电 话 交 换 机 、 传 输 设备 及 各 种 接 入 网 设备 等 的 安装 要 求 。 不 应 在 温度 高 、 
灰尘 多 、 存 在 有 害 气 体 、 易 爆 等 场所 进行 安装 ， 还 应 避 开 振 劲 和 强 噪声 、 高 低压 变 配 电 及 强 
电 干 扰 严 重 的 场所 。 

3) 综合 布线 系统 对 建筑 、 结 构 、 采 暧 通风 、 供 电 、 照 明 等 工种 及 预 埋 管线 等 配合 要 
求 ， 一般 由 建筑 专业 人 员 承 担 设计 。 弱 电 设 计 人 员 应 该 提出 比较 详细 的 布线 系统 安装 环境 要 
求 ， 如 室内 的 净 高 、 地 面 荷载 、 线 缆 出 和 人 孔洞 位 置 及 大 小 、 室 内 温 湿 度 条 件 要 求 等 。 

4) 如 果 布 线 系统 设备 安装 在 旧 房 屋内 时 ， 一般 可 以 根据 有 具体 情况 ， 在 保证 综合 布线 质 
量 的 前 提 下 ， 适 当 降 低 对 房屋 改建 的 要 求 。 房 屋 设计 还 应 符合 环保 、 消 防 、 人 防 等 规定 。 

5) 在 工业 与 民用 建筑 安装 工程 中 ， 综 合 布线 施工 要 求 与 主体 建筑 有 着 密切 的 关系 。 如 
配 管 、 配 线 及 配 线 架 或 配 线 柜 的 安装 等 ， 都 应 在 土建 实施 工程 中 密切 配合 ， 做 好 预 留 孔洞 的 
工作 。 这 样 ， 既 能 加 快 施工 进度 ， 又 能 提高 施工 质量 : 既 安 全 可 靠 ,， 又 整齐 美观 。 

6) 要 保证 照明 、 供 电 和 接地 等 条 件 。 如 施工 中 的 安全 的 供电 源 ， 以 及 照明 安全 灯具 
等 。 要 注意 电源 插座 应 用 带 保护 的 电源 插座 等 用 电 安 全 问题 。 根 据 所 连接 的 设备 情况 ， 部 分 
电源 插座 应 考虑 采用 UPS 的 供电 方式 。 

(2) 器 材 的 检查 

应 在 施工 之 前 对 综合 布线 工程 所 用 的 各 种 器 材 进行 检查 。 知 无 出 三 检验 证 明 或 与 设计 不 
符 ， 不 得 在 工程 中 使 用 。 经 检验 合格 的 应 做 好 记录 ， 对 不 合格 的 器 材 应 单独 存放 ， 以 备 核 查 
与 处 理 。 

1) 各 种 钢材 和 铁 件 的 材质 、 规 格 、 型 号 应 符合 设计 文件 的 规定 和 质量 标准 。 各 种 管材 
的 管 喘 和 管 口 不 得 变形 ， 接 续 配件 齐全 有 效 。 各 种 管材 ( 如 钢管 、 硬 质 PVC 管 等 ) 内 壁 应 
光滑 ， 无 节 疤 ， 无 裂缝 ; 其 材质 、 规 格 、 型 号 及 孔径 壁 厚 应 符合 设计 文件 的 规定 和 质量 标 
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准 。 

2) 工程 中 所 用 的 电缆、 光缆 的 规格 、 形 式 和 型 号 应 符合 设计 的 规定 和 合同 要 求 。 成 盘 
的 电缆 〈 一 般 以 305m 配 盘 ) 、 光 线 的 型 号 和 长 度 等 ， 应 与 出 广 时 的 产品 质量 合格 证 一 致 ; 
线 缆 的 外 护 套 应 完整 无 损 ， 电 缆 所 附 标 志 、 标 签 的 内 容 应 齐全 、 清 上 晰 。 抽 查 抽 测 线 缆 的 性 能 
首 标 ; 如 用 户 有 要 求 ， 应 附 有 本 批量 电缆 的 技术 指标 。 

(3) 接 插件 及 配 线 设备 的 检验 

配 线 模块 和 信息 插座 及 其 他 接 插件 的 部 件 应 完整 ， 带 材质 量 应 满足 设计 要 求 ; 保安 单元 
过 电压 、 过 电流 保护 的 各 项 指标 应 符合 有 关 规 定 ; 光纤 插座 连接 带 及 其 接续 设备 的 形式 、 规 
格 应 符合 设计 要 求 。 


$5. 5.2 综合 布线 工程 施工 常用 工具 与 使 用 


综合 布线 系统 的 线 缆 通 常 是 通过 瞳 表 管 路 或 桥架 、 槽 道 进行 安装 数 设 。 综 合 布线 工程 的 
施工 可 以 分 为 管 梢 安装 施工 、 线 缆 数 设施 工 、 设 备 安装 和 调试 初 验 等 阶段 。 施 工 各 阶段 都 要 
用 到 以 下 常用 工具 。 

1. 双 绞 线 端 接 工具 

(1) 剥 线 外 

使 用 压 线 工 具 上 的 刀片 来 剥 除 双 绞 线 的 外 套 ， 可 能 会 伤 及 导线 的 绝缘 层 。 剥 线 钳 使 用 高 
度 可 调 的 刀片 或 利用 弹簧 张力 来 控制 切割 深度 ， 切 割 时 不 会 伤 及 导线 的 绝缘 层 。 图 5-24 所 
示 为 一 种 剥 线 钳 。 

(2) 压 线 刍 

用 来 压 接 8 位 的 RJ-45 连接 器 和 4 位 、6 位 的 RJ-11、RJ-12 连接 器 ， 可 同时 提供 切线 和 
剥 线 的 功能 。 常 见 的 压 线 工具 有 RJ-45 或 J-11 单 用 压 线 错 ， 也 有 两 用 压 线 错 ， 如 图 5.25 所 
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图 5-24” 剥 线 错 图 5-25 压 线 钳 


(3) 打 线 刀 

用 于 将 双 绞 线 压 接 到 信息 模块 和 配 线 架 上 ， 信 息 模 块 和 配 线 架 是 采用 绝缘 置换 连接 器 
(IDC) 与 双 绞 线 连接 的 。IDC 实际 上 是 V 形 溃 口 的 小 刀片 ， 当 把 导线 压 入 溃 口 时 ， 刀 片 制 
开导 线 的 绝缘 层 ， 与 其 中 的 铜 线 接触 。 打 线 工具 由 手柄 和 刀具 组 成 ， 它 是 两 端 式 的 ， 一 端 具 
有 打 接 和 裁 线 功能 ， 可 剪 掉 多 余 的 线头 ; 另 一 端 不 具有 裁 线 功能 。 在 打 线 工具 的 一 面 会 有 清 
晰 的 “CUT” 字 样 ， 使 用 户 能 够 识别 正确 的 打 线 方向 。 单 对 打 线 工具 如 图 5-26 所 示 。 还 有 5 
对 打 线 工具 ， 是 一 种 多 功能 端 接 工具 ， 如 图 5-27 所 示 。 

2. 光纤 安装 施工 工具 

光纤 安装 施工 工具 分 为 光缆 敷设 工具 和 光缆 端 接 工 具 。 光 缆 甫 设 工 具 主 要 包括 滑车 、 牵 
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引 机 等 ， 与 双 缕 线 电 缆 布 线 使 用 的 敷设 工具 相同 。 下 面 重点 介绍 光线 布线 中 使 用 的 端 接 工 


图 5-26 单 对 打 线 工具 图 5-27 5 对 打 线 工具 





(1) 光纤 剥离 钳 

用 于 剥 除 光 纤 涂 敷 层 和 外 护 层 。 光 纤 剥 离 钳 的 种 类 很 多 ， 图 5-28 所 示 为 双 口 光纤 剥离 
钳 ， 它 具有 双开 口 、 多 功能 的 特点 ， 错 为 上 的 V 形 口 用 于 精确 剥离 250pm、500pm 的 涂 敷 
层 和 900pm 的 缓冲 层 ， 第 二 开口 用 于 剥离 3mm 的 尾 纤 外 护 层 。 

(2) 光纤 剪刀 

光纤 剪刀 如 图 5-29 所 示 ， 主 要 功能 是 用 来 修剪 凯 弗 拉线 〈Kevlar) 。 山 弗 拉线 是 一 种 万 
性 很 高 的 线 ， 用 于 光纤 加 固 。 光 纤 剪 思 是 一 种 防滑 锯齿 剪刀 ， 复 位 弹 得 可 以 提高 前 切 速度 ， 
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图 5-28” 双 口 光 纤 剥 离 钳 图 5-29 光纤 剪刀 
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(3) 光纤 连接 局 压 线 钳 

用 于 压 接 FC、SC 、ST 等 连接 器 ， 如 图 5-30 所 示 。 

(4) 光纤 接续 子 

用 于 尾 纤 接续 、 不 同类 型 的 光缆 转 接 、 室 内 外 永久 或 临时 接续 和 光缆 应 急 恢 复 ， 相 当 于 
个 接头 。 光 纤 接 续 子 有 很 多 类 型 ， 图 5-31 所 示 为 不 需 热 熔 的 光纤 接续 子 ， 也 称 光 纤 冷 接 子 。 
它 是 一 种 简单 、 易 用 的 光纤 接续 工具 ， 可 以 接续 多 模 或 单 模 光 纤 。 光 纤 接 续 子 使 用 起 来 非常 
简单 ， 没 有 太 多 的 附件 ， 几 乎 不 需要 培训 ， 操 作 步 骤 为 : 剥 纤 并 把 光纤 切割 好 ， 将 需要 接续 
的 光纤 分 别 插入 接续 子 ， 直 到 它们 互相 接触 ， 然 后 旋转 凸轮 锁 紧 并 保护 光纤 。 这 个 过 程 中 无 
需 使 用 任何 慕 结 剂 或 其 他 专用 工具 。 


图 5-30 ”光纤 连接 器 压 线 钳 图 5-31 不 需 热 炊 的 光纤 接续 子 





(5) 光纤 切割 工具 
用 于 光纤 的 切割， 包括 光纤 切割 笔 和 光纤 切割 机 。 光 纤 切 割 笔 用 于 光纤 的 简易 切割 ， 如 
图 5-32 所 示 。 通 用 光纤 切割 机 用 于 光纤 的 精密 切割， 如 图 5-33 所 示 。 
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(6) 光纤 熔接 机 
主要 是 靠 放出 电弧 将 两 头 光 纤 熔 化 ， 同 时 运用 准 直 原理 平缓 推进 ， 以 实现 光纤 模 场 的 耦 
合 。 光 纤 熔 接 机 是 采用 芯 对 芯 标 准 系 统 进行 快速 、 全 自动 熔接 ， 能 进 LA 
行 光纤 接续 工作 ， 可 以 进行 自动 光纤 类 型 识别 ， 自 动 校准 熔接 位 置 ，” gp 
自动 选择 最 佳 熔接 程序 ， 自 动 推算 接续 损耗 ， 如 图 5-34 所 示 。 
其 他 常用 光缆 施工 工具 还 有 光纤 固化 加 热 炉 、 手 动 光纤 研磨 工具 、 图 532 光 年 切 制 筷 
光纤 头 清洗 工具 、 光 纤 探 测 器 、 常 用 光纤 工具 包 等 。 











图 5-33 ”通用 光纤 切割 机 图 5-34 ”光纤 熔接 机 


sS.S.3 配 线 架 的 安装 与 端 接 
目前 常见 的 双 绞 线 配 线 架 有 110 配 线 架 〈 见 图 5-35) 和 数据 配 线 架 ( 见 图 5-36) 等 类 
开 
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图 5-35 110 配 线 架 图 5-36 ”数据 配 线 架 


1. 110 配 线 架 的 端 接 

110 配 线 架 是 早期 综合 布线 系统 的 核心 产品 ， 起 着 传输 信号 的 转 接 、 分 配 以 及 综合 统一 
管理 的 作用 ， 利 用 同一 接口 和 同一 种 传输 介质 ， 通 过 连接 不 同 信 息 的 配 线 架 之 间 的 跳 接 来 传 
输 各 种 不 同 信息 。 目 前 常见 的 双 绞 线 配 线 架 采用 19in RJ-45 口 110 配 线 架 ， 此 种 配 线 架 背面 
进 线 采 用 110 端 接 方式 ， 正 面 全 部 为 RJ-45 口 用 于 跳 接 配 线 。 各 厂家 生产 的 模块 式 快速 配 线 
架 的 结构 和 安装 方法 基本 相同 。 

1) 先 不 要 把 模块 放 上 去 ， 按 照片 模 上 的 颜色 去 打 ， 从 左 到 右 ，【( 蓝 、 栓 、 绿 、 棕 、 
灰 ) ， 再 根据 大 对 线 上 的 “ 色 带 ”去 打 ， 从 前 打 到 最 后 。 





2) 把 线 打 完 之 后 ， 再 把 刚才 的 模块 放 上 去 ， 用 力 敲 打 ， 使 其 紧 由 在 配 线 架 上 。 
3) 最 后 根据 刚才 打 完 的 模 口 ， 与 配 线 架 进行 跳 线 ， 即 可 。 
大 对 数 的 线 序 是 这 样 的 : 
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.5 种 主 色 % 旧 色 sy 红色 、 志 色 、 贡 色 、 茶色 。 

e 5 种 次 色 : 蓝 色 、 桔 色 、 绿 色 、 棕 色 、 灰 色 。 

25 对 及 以 上 的 大 对 数 电缆 端 接 要 注意 其 色 序 ， 其 对 数 均 为 25 的 倍数 ， 如 50 对 、100 
对 、300 对 。 所 以 每 组 25 对 里 面 的 着 色 顺 序 是 完全 一 样 的 。 区 分 方法 是 : 在 这 些 大 对 数 电 
绕 中 ， 每 个 25 对 的 线束 组 用 彩色 标记 按照 我 们 元 悉 的 色 标 顺序 条 进行 捆扎 ， 这 样 无 论 多 少 
线 对 电线 都 可 以 不 必 重 复 地 进行 标识 了 。 这 些 颜色 序号 排列 是 从 线 缆 中 心 向 外 层 进行 计数 
的 ， 各 层 中 计数 方向 应 与 单位 内 线 对 的 计数 方向 一 致 。 这 种 色 标 顺序 在 110 配 线 系统 中 广泛 
应 用 。 

2. 数据 配 线 架 的 端 接 

数据 配 线 架 是 管理 子 系统 中 最 重要 的 组 件 ， 是 实现 垂直 干线 和 水 平 布线 两 个 子 系统 交叉 
连接 的 枢纽 。 配 线 染 通常 安装 在 机 柜 或 增 上 。 通 过 安装 附件 ， 配 线 架 可 以 全 线 满足 UTP、 
STP、 同 轴 电 绕 、 光 纤 、 音 视频 的 需要 。 在 网 络 工程 中 常用 的 配 线 架 有 双 绞 线 配 线 架 和 光纤 
配 线 架 。 

双 绞 线 配 线 架 的 作用 是 在 管理 子 系统 中 将 双 绞 线 进行 交 又 连接， 用 在 主 配 线 间 和 各 分 配 
线 间 。 双 绞 线 配 线 架 的 型 号 有 很 多 ， 每 个 厂商 都 有 自己 的 产品 系列 ， 并 且 对 应 3 类 、5 类 、 
超 5 类 、6 类 和 7 类 线 缆 分 别 有 不 同 的 规格 和 型 号 ， 在 具体 项 目 中 ， 应 参阅 产品 手册 ， 根 据 
实际 情况 进行 配置 。 

模块 化 配 线 架 主要 应 用 于 楼 层 管 理 间 和 设备 间 内 的 计算 机 网 络 电缆 的 管理 。 各 厂家 的 模 
块 化 配 线 架 结 构 及 安装 相 类 似 ， 因 此 下 面 以 IBDN PS5E HD-BIX 配 线 架 为 例 ， 介 绍 模块 化 配 
线 架 的 安 汉 步 又 。 

以 IBDN PS5E HD-BIX 配 线 架 为 例 ， 具 体 安装 步 又 如 下 : 

1) 使 用 螺钉 将 HD-BIX 配 线 架 固定 在 机 架 上 ， 如 图 5-37 所 示 。 

2) 在 配 线 架 背面 安装 理 线 环 ， 将 电缆 整理 好 固定 在 理 线 环 中 并 使 用 绑扎 带 固 定 电 缆 ， 
一 般 6 根 电 缆 作 为 一 组 进行 绑扎 ， 如 图 5-38 所 示 。 


























理 线 环 六 跟 电缆 组 成 一 
组 并 绑扎 固定 










> wy | 模块 化 配 线 架 
一 一 理 线 架 








图 5-37 在 机 架 上 安装 配 线 架 图 5-38 ”安装 理 线 环 并 整理 固定 电缆 


3) 根据 每 根 电缆 连接 接口 的 位 置 ， 测 量 端 接 电缆 应 预 留 的 长 度 ， 然 后 使 用 平 口 钳 截断 
电缆 ， 如 图 5-39 所 示 。 

4) 根据 系统 安装 标准 选 定 T568A 或 T568B 标签 ， 然 后 将 标签 压 入 模块 组 插 模 内， 如 图 
5-40 所 示 。 

5) 根据 标签 色 标 排列 顺序 ， 将 对 应 颜色 的 线 对 逐一 压 和 人 覃 内， 然后 使 用 IBDN 打 线 工 
具 固 定 线 对 连接 ， 同 时 将 伸 出 横 位 多 余 的 导线 截断 ， 如 图 5-41 所 示 。 
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图 5-40 ”调整 合适 标签 并 安装 在 模块 组 插 权 内 图 5-41 将 线 对 逐次 压 人 槽 位 并 打压 固定 


6) 将 每 组 线 缆 压 人 模 位 内 ， 然 后 整理 并 绑扎 固定 线 缆 ， 如 图 5-42 所 示 。 


7) 将 跳 线 通过 配 线 架 下 方 的 理 线 架 整 理 固定 后 ， 逐 一 接 插 到 配 线 架 前 面板 的 RJ-45 接 





口 ， 最 后 编 好 标签 并 贴 在 配 线 架 前 面板 ， 如 图 5-43 所 示 。 








图 5-43 ”将 跳 线 接 插 到 配 线 架 





图 5-42 ”整理 并 绑扎 固定 线 缆 各 接口 并 贴 好 标签 
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5.6 综合 布线 系统 工程 测试 


5.6.1 综合 布线 系统 测试 的 必要 性 


综合 布线 系统 工程 质量 的 好 坏 直 接 影响 信息 通信 网 络 的 正常 运行 。 为 了 保证 综合 布线 工 
程 的 质量 ， 防 止 投 入 使 用 后 出 现 网 络 故 障 ， 有 必要 对 其 进行 严格 的 工程 测试 。 

对 于 布线 工程 的 施工 方 来 说 ， 测 试 的 目的 有 两 个 : 一 个 是 提高 施工 的 速度 ; 为 一 个 是 癌 
投资 方 证 明 工 程 的 质量 保证 可 靠 。 综 合 布线 系统 工程 的 测试 分 为 电线 传输 通道 测试 和 光缆 传 
输 通道 测试 。 

如 果 对 综合 布线 系统 不 做 测试 ， 不 进行 合格 性 验收 ， 工 程 是 不 能 移交 给 用 户 使 用 的 。 综 
合 布线 系统 工程 的 测试 向 用 户 提 供 质量 保证 ， 为 工程 的 顺利 验收 做 好 准备 。 


5.6.2 测试 标准 与 测试 模型 


1. 测试 类 型 

综合 布线 的 测试 ， 从 工程 的 角度 来 说 可 分 为 两 类 : 验证 测试 和 认证 测试 。 

验证 测试 是 在 施工 的 过 程 中 由 施工 人 员 边 施工 边 测试 ， 以 保证 每 个 连接 的 正确 性 。 验 证 
测试 义 叫 随 工 测试 ， 是 边 施 工 边 测 试 ， 主 要 检测 线 绕 的 质量 和 安 状 工 艺 ， 以 及 时 发 现 并 纠正 
问题 ， 避 免 返 工 。 验 证 测试 不 需要 使 用 复杂 的 测试 仪 ， 只 需要 使 用 能 测试 接线 通 断 和 线 缆 长 
度 的 测试 仪 。 

认证 测试 是 指 对 布线 系统 依照 标准 例 行 逐 项 检测 ， 以 确定 布线 是 否 能 达到 设计 要 求 ， 包 
括 连 接 性 能 测试 和 电气 性 能 测试 。 认 证 测试 又 叫 验 收 测试 ， 是 所 有 测试 工作 中 最 重要 的 环 
节 ， 是 在 工程 验收 时 对 综合 布线 系统 的 安装 、 电 气 特性 、 传 输 性 能 、 设 计 、 选 材 和 施工 质量 
的 全 面 检验 。 认 证 测试 通常 分 为 自我 认证 测试 和 第 三 方 认 证 测试 。 

2. 测试 标准 

测试 标准 的 两 大 组 织 是 TIAZEIA 和 ISOAIEC。 主 要 可 供 参 考 的 国际 测试 标准 为 ELIAZTIA 
制定 的 TSB-67《 现 场 测试 非 屏蔽 双 绞 线 电 绕 布线 系统 传输 性 能 技术 规范 》、FEIA/TIA-568A 
《商用 建筑 电信 布线 标准 》 和 ISOZIEC 颁布 的 ISOAIEC 11801 《信息 技术 -用 户 房屋 综合 布线 》。 
其 中 ，TSB-67 包含 了 验证 EIAATIA-568 标准 定义 的 UTP 布线 中 的 电缆 与 连接 硬件 的 规范 。 

由 于 所 有 的 高 速 网 络 都 定义 了 支持 5 类 双 绞 线 ， 所 以 用 户 要 找 一 个 方法 来 确定 他 们 的 电 
缆 系 统 是 否 满足 5 类 双 绞 线 的 规范 要 求 。 为 了 满足 用 户 的 需要 ，EIA 制定 了 EIA586 和 TSB- 
67 标准 ， 它 们 适用 于 已 安装 好 的 双 绞 线 连接 网 络 ， 并 提供 了 一 个 用 于 认证 双 绞 线 电 缆 是 否 
达到 5 类 线 要 求 的 标准 。 由 于 确定 了 电缆 布线 满足 新 的 标准 ， 用 户 就 可 以 确定 他 们 现在 的 布 
线 系统 能 否 支持 未 来 的 高 速 网 络 。 

随 着 超 5 类 、6 类 系统 标准 的 制定 和 推广 ， 目 前 EIA568 和 TSB-67 标准 已 提供 了 超 5 
类 、6 类 系统 的 测试 标准 。 对 于 EIA568-B 标准 已 经 不 再 认可 4 对 4 类 双 绞 线 和 5 类 双 绞 线 
电缆 。TIAZEIA 制定 的 EIA/TIA-568-B 和 ISOZIEC 颁布 的 ISOZIEC 11801 2002 相 比 ， 主 要 内 
容 大 体 一 致 ， 名 词 称谓 略 有 差别 ， 个 别 性 能 要 求 不 同 。 

国家 标准 的 制定 主要 也 是 以 EIA/TIA-568 和 ISO/AIEC 颁布 的 ISOZEC 11801 等 作为 依 
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的 5 类 电线 、5e 类 电 统 、6 类 电缆 和 光缆 的 测试 方法 。 
网 络 电线 及 其 对 应 标准 见 表 5-10。 


























国内 具体 实际 情况 进行 了 相应 的 修改 。 目 前 ， 国 家 制定 的 测试 标准 是 GBAT 
50312 一 2007《 建 筑 与 建筑 群 综合 布线 系统 工程 验收 规范 》， 该 标准 包括 了 目前 使 用 最 广泛 





























表 5-10 网络 电线 及 其 对 应 标准 
电缆 类 型 网 络 类 型 标准 
UTP 今 牌 环 4Mbit/s IEEE 802. 5 for 4Mbit/s 
UTP 邻 牌 环 16Mbit/s IEEE 802. 5 for 16Mbit/s 
UTP 以 太 网 IEEE 802. 3 for 10Base-T 
RG58/RG58 Foam 以 太 网 IEEE 802. 3 for 10Base2 
RG58 以 太 网 IEEE 802. 3 for 10Base5 
UTP 快速 以 太 网 IEEE 802. 12 
UTP 快速 以 太 网 IEEE 802. 3 for 10Base-T 
UTP 快速 以 太 网 IEEE 802. 3 for 100Base-T4 
URP 3、4 、5 类 电缆 现场 认证 TIA 568 、TSB-67 




















不 同 标准 所 要 求 的 测试 参数 见 表 5-11。 


表 5-11 不 同 标准 所 要 求 的 测试 参数 



















































































测试 标准 接线 图 电阻 长 度 特性 阻抗 | 近 端 串扰 衰减 
EIA/TIAS68 A 、TSB-67 * 六 
10base-T * * * * 
10Base2 六 六 
10Base5 * * 
IEEE 802.5 for 4Mbit/s * 洲 洲 六 
IEEE 802. 5 for 16Mbit/s * * 炒 水 
100Base-T 米 米 米 洲 洲 
IEEE 802. 12 100Base-VG 六 * * 六 六 
电 统 级 别 与 应 用 的 标准 见 表 5-12。 
表 5-12 电缆 级 别 与 应 用 的 标准 
级 别 频率 量程 应 用 
IEEE 802.5 Mbit/s 令 牌 环 、IEFEFE 802. 3 for 10Base-T 
3 1 ~16MHz IEEE 802. 12 100Base-VG 、IEEE 802. 3 for 10Base-T4 以 太 网 
ATM 51. 84/25. 92/12. 96Mbit/s 
4 1 ~20MHz IEEE 802. 5 16Mbit/s 
5 1 ~ 100MHz IEEE 802. 3 100Base-T 快速 以 太 网 、ATM 155Mbit/s 
6 200MHz IEEE 802. 3u 1000Base- 千 兆 以 太 网 
7 #* 600MHz 








注 : 
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* 表示 国 





























际 标准 化 组 织 还 没有 通过 正式 标准 。 











3. 测试 内 容 

综合 布线 工程 测试 内 容 主要 包括 3 个 方面 : 工作 区 到 设备 间 的 连通 状况 测试 、 主 干线 连 
通 状况 测试 、 跳 线 测试 。 

(1) 电缆 传输 通道 的 验证 测试 

对 于 电缆 传输 通道 的 验证 测试 ， 主 要 检查 施工 中 常见 的 连 线 故障 : 电缆 标签 错 、 连 接 开 
路 、 双 绞 电 缆 接 线 图 错 (包括 : 错 对 、 极 性 接 反 、 串 绕 ) 以 及 短路 。 具 体 说 明 如 下 : 

1) 开路 、 短 路 : 在 施工 时 由 于 安装 工具 或 接线 技巧 问题 以 及 墙 内 穿线 技术 问题 ， 会 出 
现 这 类 故障 。 

2) 接 反 : 同一 对 线 在 两 端 针 位 接 反 ， 如 一 端 为 12， 另 一 端 为 2-1。 

3) 错 对 : 将 一 对 线 接 到 另 一 端的 另 一 对 线 上 ， 比 如 一 端 是 12， 另 一 端 接 在 4-5 针 上 。 
最 典型 的 错误 就 是 打 线 时 混用 TS68A 与 T568B 的 色 标 。 

4) 串 绕 : 就 是 将 原来 的 两 对 线 分 别 拆 开 而 又 重新 组 成 新 的 线 对 。 因 为 出 现 这 种 故障 
时 ， 端 对 端的 连通 性 是 好 的 ， 所 以 用 万 用 表 这 类 工具 检查 不 出 来 ， 只 有 用 专用 的 电缆 测试 仪 
才能 检查 出 来 。 由 于 串 绕 使 相关 的 线 对 没有 扭 结 ， 因 此 在 线 对 间 信 和 号 通过 时 会 产生 很 高 的 近 
端 串 绕 。 

(2) 光缆 传输 通道 的 测试 

对 于 光缆 传输 通道 的 测试 主要 考察 测量 参数 ， 具 体 包含 以 下 几 个 方面 : 

1) 光纤 的 连续 性 

进行 连续 性 测量 时 ， 通常 是 把 红色 激光 、 发 光 二 极 管 或 者 其 他 可 见 光 注入 光纤 ， 并 在 光 
纤 的 末端 监视 光 的 输出 。 如 果 在 光纤 中 有 断裂 或 其 他 的 不 连续 点 ， 在 光纤 输出 端的 光 功 率 就 
会 减少 或 者 根本 没有 光 输 出 。 光 通过 光纤 传输 后 ， 功 率 的 衰减 大 小 也 能 表示 出 光纤 的 传导 性 
能 。 如 果 光 纤 的 衰减 太 大 ， 则 系统 也 不 能 正常 工作 。 光 功率 计 和 光源 是 进行 光纤 传输 特性 测 
量 的 一 般 设备 。 

2) 光纤 的 衰减 

光纤 的 衰减 主要 是 由 光纤 本 身 的 固有 吸收 和 散射 造成 的 。 豪 减 系 数 应 在 许多 波长 上 进行 
测量 ， 因 此 选择 单 色 仪 作为 光源 ， 也 可 以 用 发 光 二 极 管 作为 多 模 光 纤 的 测试 源 。 

3) 光纤 的 带宽 

带宽 是 光纤 传输 系统 中 的 重要 参数 之 一 ， 人 带宽 越 宽 ， 信 息 传 输 速 率 就 越 高 。 在 大 多 数 的 
多 模 系 统 中 ， 都 采用 发 光 二 极 管 作为 光源 ， 光 源 本 身 也 会 影响 带宽 。 这 是 因为 这 些 发 光 二 极 
管 光源 的 频谱 分 布 很 宽 ， 其 中 长 波长 的 光 比 短波 长 的 光 传 播 速 度 要 快 。 这 种 光 传 播 速度 的 差 
别 就 是 色散 ， 它 会 导致 光 脉 冲 在 传输 后 被 展 宽 。 





























5.7 综合 布线 系统 设计 方案 案例 
本 节 以 某 高 校 新 校区 建设 综合 布线 系统 工程 为 例 ， 介 绍 大 型 园区 网 络 综合 布线 工程 的 设 
计 方 法 。 
5.7.1 工程 概况 
某 高 校 新 校区 规划 总 建筑 面积 约 48 万 m*， 其 中 计划 实施 面积 为 404770m” ， 远 期 实施 面 
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息 中 心 大 楼 的 首 层 。 
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积 为 72365m 。 校 园 规 划 图 如 图 5-44 所 示 ， 网 络 机 房 位 于 人 
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图 5-44 ”校园 规划 图 
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言 息 中 心 所 在 位 置 基本 上 为 整个 园区 的 中 心地 带 ， 整 个 网 络 采用 结构 化 布线 ， 从 信息 中 
心 网 络 核心 机 房 甫 设 至 校园 内 各 楼 宇 ， 校 园 网 的 综合 布线 系统 采用 三 级 星 形 结构 ， 可 提供 满 
足 数 据 、 语 音 、 音 频 、 视 频 等 多 媒体 应 用 的 服务 能 


5.7.2 功能 需求 


数据 网 络 系统 不 仅 能 提供 满足 数据 、 图 像 、 音 频 、 视 频 等 多 媒体 应 用 的 服务 和 传输 能 
力 ， 而 且 能 灵活 地 通过 电信 运营 商 提供 的 接口 以 多 种 方式 与 Internet 互联 。 

为 了 能 适应 今后 10 年 其 至 更 长 时 间 内 网 络 和 通信 技术 的 高 速 发 展 ， 综 合 布线 系统 应 能 
满足 当今 流行 的 网 络 技术 〈 如 交换 式 以 太 网 技术 ) ， 特 别 是 国际 上 普遍 应 用 的 千 兆 以 太 网 技 
术 的 要 求 。 着 重 强调 为 今后 更 先进 的 如 万 兆 位 网 络 系 统 应 用 打 好 坚实 的 基础 。 该 综合 布线 系 
统 应 不 但 能 达到 目前 的 国际 先进 水 平 ， 而 且 应 该 具有 高 度 的 开放 性 ， 能 为 标准 的 智能 型 建筑 
物 提供 一 个 高 效率 、 高 标准 和 全 开放 的 基础 平台 。 

建成 后 的 综合 布线 系统 将 担负 大 量 的 图 文 信息 的 传输 工作 ， 主 要 功能 如 下 : 

1) 数据 语音 的 信号 传输 。 禾 盖 楼 内 的 高 速 1000Mbit/s， 满 足 发 展 的 业务 、 办 公 自 动 化 
和 多 媒体 会 议 以 及 语音 电话 的 需求 。 

2) 灵活 、 可 靠 。 结构 化 布线 要 有 前 脆性， 具有 最 大 的 可 靠 性 、 灵 活性 、 兼 容 性 和 开放 
































性 





3) 广泛 的 技术 和 设备 适应 性 。 支 持 目前 和 正在 形成 的 各 种 工业 和 商业 标准 ， 支 持 各 种 
计算 机 、 终 端 、 传 真 机 、 电 话 、 不 同 的 局 域 网 / 城 域 网 /广域网 /、 会 议 电视 、 多 媒体 点 播 。 


5.7.3 总 体 设 计 思 


依据 综合 布线 系统 设计 与 施工 的 相关 规范 和 标准 ， 采 用 结构 化 综合 布线 的 理念 和 技术 ， 
将 园区 综合 布线 系统 整体 工程 分 解 为 3 个 方面 的 工程 进行 设计 。 

1) 建筑 群 之 间 的 布线 系统 。 建 筑 群 之 间 全 部 采用 单 模 光 绕 ， 从 学 校 信息 中 心 大 楼 网 
络 核 心机 房 总 配 线 间 ， 通 过 学 校 弱电 地 下 管道 直 埋 光缆 的 方式 ， 敷 设 至 各 楼 宇 的 总 弱电 
间 。 

2) 单 体 建 筑 楼 宇内 的 布线 系统 。 单 体 建筑 楼 宇内 的 布线 系统 全 部 采用 六 类 综合 布线 系 
统 。 

3) 单 体 建 筑 楼 宇内 的 弱电 间 的 设计 。 按 照 弱 电 间 设计 规范 的 要 求 ， 在 对 大 楼 进行 规划 
设计 时 ， 对 各 单 体 建 筑 的 弱电 管 井 、 弱 电 间 进行 基建 设计 和 施工 ， 为 综合 布线 系统 提供 弱电 
机 房 环 境 。 

在 进行 新 校区 整个 弱电 系统 的 规划 设计 时 ， 根 据 各 个 系统 的 特点 和 特殊 要 求 进行 充分 考 
虑 ， 校 园 一 卡通 系统 、 多 媒体 教学 系统 、 安 防 监 控 系 统 等 的 布线 应 考虑 专 网 建设 ， 构 建 单独 
的 网 络 传输 系统 ， 最 大 程度 的 共享 光缆 资源 。 

整个 布线 系统 由 工作 区 子 系统 、 水 平子 系统 、 垂 直 干 线 子 系统 、 设 备 间 子 系统 、 建 筑 群 
子 系统 及 管理 子 系统 等 6 个 子 系统 构成 。 综 合 布线 系统 工程 需 按 下 列 7 个 部 分 进行 设计 : 

1) 工作 区 子 系统 。 一 个 独立 的 需要 设置 终端 设备 的 区 域 宜 划分 为 一 个 工作 区 。 工 作 区 
应 由 配 线 子 系统 的 信息 插座 模块 延伸 到 终端 设备 处 的 连接 线 线 及 适 配 豆 组 成 。 

2) 水 平子 系统 。 由 工作 区 的 信息 插座 模块 、 信 息 插座 模块 至 电信 和 闻 配 线 设备 的 配 线 电 
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线 和 光缆 、 电 信和 闻 的 配 线 设 备 及 设备 线 线 和 跳 线 等 组 成 。 根 据 单 体 建筑 高 度 和 宽度 的 特点 ， 
电信 和 闻 的 分 布 应 设置 在 不 同 的 楼 层 并 管理 相 邻 楼 层 的 网 络 信息 点 。 

3) 垂直 干线 子 系统 。 干 线 子 系统 应 由 设备 间 至 电信 和 闻 的 干线 电缆 和 光缆、 安装 在 设备 
间 的 建筑 物 配 线 设备 及 设备 线 线 和 跳 线 组 成 。 

4) 设备 间 子 系统 。 设 备 间 是 在 每 幢 建 筑 物 的 适当 地 点 进行 网 络 管理 和 信息 交换 的 场 
地 。 对 于 综合 布线 系统 工程 设计 ， 设 备 间 主要 安装 建筑 物 配 线 设备 。 

5) 进 线 间 。 进 线 间 是 建筑 物 外 部 通信 和 信息 管线 的 入 口 部 位 ， 并 可 作为 人口 设施 和 建 
筑 群 配 线 设 备 的 安装 场地 ， 可 以 与 设备 间 在 一 起 ， 也 可 以 单独 设置 。 

6) 建筑 群 子 系统 。 建 筑 群 子 系统 应 由 连接 多 个 建筑 物 之 间 的 主干 电缆 和 光线、 建筑 群 
配 线 设备 及 设备 缆 线 和 跳 线 组 成 。 

7) 管理 子 系统 。 管 理应 对 工作 区 、 电 信和 闻 、 设 备 间 、 进 线 间 的 配 线 设备 、 缆 线 、 信 息 
插座 模块 等 设施 按 一 定 的 模式 进行 标识 和 记录 。 

进行 从 新 校区 全 校 弱 电 管 网 的 设计 到 各 单 体 楼 宇 的 建筑 规划 设计 时 ， 需 加 强 与 建筑 设计 
院 设 计 人 员 的 沟通 。 新 校区 建筑 设计 人 员 充 分 考虑 网 络 综合 布线 系统 设施 及 管线 、 线 槽 和 管 
井 的 合理 设计 ， 并 且 预 留 足 够 面积 的 设备 间 、 配 线 间 和 进 线 间 等 ， 对 上 述 设 计 均 须 满足 国家 
最 新 颁布 的 综合 布线 系统 工程 设计 规范 (GB 50311 一 2007) 等 相关 标准 和 规范 。 

建筑 群 子 系统 是 指 将 一 栋 建筑 的 线 绕 延 伸 至 建筑 群 内 的 其 他 建筑 的 通信 设备 和 设施 ， 实 
现 楼 群 之 间 网 络 系 统 的 信息 连接 。 从 新 校区 网 络 核心 机 房 至 各 汇聚 主 节点 所 在 的 楼 宇 全 部 采 
用 室外 铠 装 单 模 光 纤 接 入 ， 从 各 汇聚 主 节 点 所 在 楼 宇 至 各 个 单 体 建筑 ， 根 据 实际 距离 情况 采 
用 室外 铠 装 单 模 或 多 模 光 纤 接 入 。 

建筑 群 子 系统 采用 地 下 管道 敷设 方式 ， 路 由 方式 充分 利用 新 校区 弱电 管 网 。 弱 电 管 网 的 
地 下 通道 要 预 留 足够 的 管 槽 ， 文 持 综合 布线 系统 主干 光缆 的 铺设 。 设 计 弱 电 管 网 时 要 充分 考 
虑 为 二 期 和 三 期 建设 预 留 足够 的 管道 和 管 井 ， 以 便于 今后 网 络 扩展 及 施工 。 

建筑 群 主干 布线 系统 包括 从 新 校区 网 络 核心 机 房 至 各 区 域 汇 聚 主 节 点 所 在 楼 宇 设 备 间 、 
从 区 域 汇聚 主 节 点 所 在 楼 宇 设 备 间 至 各 单 体 建筑 设备 间 的 主干 光纤 铺设 工程 ， 包 括 主干 光缆 
铺设 、 光 纤 熔 接 、 跳 线 、 设 备 间 线 缆 接 人 等 相关 布线 产品 安装 和 工程 实施 。 综 合 布线 主干 光 
线 分 布 图 如 图 5-45 所 示 。 

1) 一 级 主干 : 从 网 络 核心 机 房 至 全 校 各 区 域 汇聚 主 节 点 所 在 楼 宇 设备 间 建 设 万 兆 主干 
链 路 ， 采 用 4 根 24 世 单 模 光 纤 铺 设 。 

2) 二 级 主干 : 从 各 区 域 汇聚 主 节点 所 在 楼 宇 设 备 间 至 该 区 域 各 个 单 体 建筑 的 设备 间 建 
设 万 兆 主干 链 路 ， 采 用 2 根 24 世 单 模 / 多 模 光 纤 铺 设 。 


5.7.4 各 子 系统 设计 


1. 信息 点 设置 原则 

对 于 新 校区 各 房间 单元 功能 定位 的 不 同 ， 信 息 点 的 设置 也 不 尽 相 同 。 信 息 点 的 设置 需要 
考虑 一 定 的 见 余 。 各 个 单 体 建筑 在 综合 布线 时 均 需 要 预 留 充足 的 无 线 网 络 接 入 信息 点 。 对 网 
络 布线 系统 数据 部 分 的 设置 标准 见 表 5-13。 有 特殊 需求 的 布线 要 求 ， 针 对 各 单位 、 各 部 门 提 
出 的 特殊 需求 进行 信息 点 分 布设 计 。 
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1: 4X24 芯 单 摸 万 兆 光 纤 
2: 2X24 芯 单 摸 万 兆 光 纤 
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网 络 核心 机 房 


图 545 综合 布线 主干 光缆 分 布 图 


表 5-13 信息 点 分 配 标 准 

































































2 ue 信息 点 个 数 
功 能 单元 (数据 部 分 ) 备 注 
单 班 非 多 媒体 教室 2 
多 媒体 教室 4 
学 术 报告 厅 值 班 室 2 
学 术 报告 厅 、 阶 梯 教 室 4 2 个 数据 ，2 个 无 线 接 人 
校 领导 办 公 室 4 1 个 台式 机 ，1 个 笔记 本 ，1 个 卫 电 话 ，!1 个 视频 会 议 
教 职 工 办 公 室 (每 10m ) 3 2 个 数据 ， 每 房间 1 个 元 余 
普通 实验 室 4 实验 室内 部 采用 交换 机 自行 组 建 局 域 网 
小 型 会 议 室 2 1 个 数据 ，1 个 无 线 接 入 
大 会 议 室 (80m? 以 上 ) 4 2 个 数据 ，2 个 无 线 接 入 
各 单 体 建 筑 门厅 3 2 个 数据 ，1 个 无 线 接 入 
展示 厅 及 陈列 室 2 
学 生 宿舍 (4 人 间 ) 5 每 个 床位 1 个 ， 每 房间 1 个 宛 余 
研究 生 宿舍 (2 人 间 ) 3 每 个 床位 1 个 ， 每 房间 1 个 元 余 
硕 博 公 寅 3 每 间 2 个 数据 ， 每 房间 1 个 元 余 
值班 室 2 





165 
































( 续 ) 
= 信息 点 个 数 
功 能 单元 (数据 部 分 ) 备 注 
监控 室 4 
休息 室 2 
每 层 楼 道 左 中 右 、 单 体 建筑 顶层 两 个 外 侧 6 预 留 无 线 接 入 
其 他 辅助 用 房 2 保证 每 个 房间 有 网 络 接 人 














2. 工作 区 子 系统 

工作 区 子 系统 是 指 终端 设备 到 信息 插座 的 连接 部 分 ， 包 括 信息 插座 、 用 户 终端 设备 连 线 
生生 《各 况 下 人 用 )。 用 户主 过 为 6 类 -5 水 有 天 的 一 
6 类 接 搬 软 线 ， 用 于 连接 各 种 不 同 的 用 户 设 备 。 不 同型 号 的 话机 、 计 算 机 终端 通过 该 设备 连 





线 可 方便 地 连接 到 信息 插座 上 。 工 作 区 布线 示意 图 如 图 5-46 所 示 。 
工作 区 子 系统 定义 元 件 





终端 连接 子 系统 定义 元 件 
图 5-46 工作 区 布线 示意 图 


根据 相关 的 规范 标准 ， 建 筑 物 工作 区 面积 设计 见 表 5-14。 
表 5-14 建筑 物 工作 区 面积 设计 表 





























建筑 物 类 型 及 功能 工作 区 面积 jn” 
信息 中 心 等 终端 设备 较为 密集 的 场地 3 ~5 
办 公 区 5~10 
会 议 、 会 展 10 ~60 
商场 、 生 产 机 房 、 娱 乐 场所 20 ~60 
体育 场馆 、 候 机 室 、 公 共 设 施 区 20 ~ 100 
工业 生产 区 00 ~200 





工作 区 面积 划分 表 见 表 5-15 。 
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表 5-15 工作 区 面积 划分 表 




























































































































































































建筑 物 名 称 层 交 幢 数 面积 Lm? 言 息 点 计算 模式 点 数 
基础 部 5 3 33784 办 公 区 5066 
建筑 学 院 6 1 16481 公共 设施 区 310 
土木 学 院 6 1 公共 设施 区 
28733 538 
测绘 学 院 6 1 公共 设施 区 
环 能 学 院 3 2 27991 公共 设施 区 524 
电气 学 院 6 1 公共 设施 区 
34883 一 654 
机 电学 院 6 1 公共 设施 区 
经 管 学 院 5 2 22327 公共 设施 区 418 
文法 学 院 5 1 6400 公共 设施 区 120 
8 8 办 公 区 10000 (数据 )、 
学 生 窒 舍 104272 
7 2 办 公 区 2500 (语音 ) 
学 生食 堂 2 公共 设施 区 
1 
教工 食堂 3 20075 公共 设施 区 376 
学 生活 动 中 心 1 1 4948 办 公 区 742 
图 书馆 7 1 25200 公共 设施 区 472 
科技 产业 大 厦 9 3 30052 办 公 区 4507 
培训 中 心 11 1 办 公 区 
25422 3813 
会 议 中 心 2 1 办 公 区 
行政 办 公 5 1 7255 办 公 区 1088 
体育 馆 8000 公共 设施 区 150 
后 勤 办 公 4 1 3194 办 公 区 479 
医务 室 3 办 公 区 
1 4510 676 
市 政 用 房 3 办 公 区 
教工 之 家 1200 公共 设施 区 22 
计划 实施 面积 : 404770m? 
行政 办 公 9888 办 公 区 1483 
科技 产业 11769 办 公 区 1766 
博物 馆 3 1 9008 公共 设施 区 168 
人 研究生 \ 留学 生 院 41700 公共 设施 区 781 


























远 期 实施 合计 : 72365m- 





总 共 (计划 \ 远 期 实施 ) : 477135m? 








合计 信息 点 总 数 :36653m? 





根据 建设 部 相关 规范 ， 建 筑 物 给 出 的 建设 面积 不 能 直接 作为 使 用 面积 来 应 用 ， 而 国家 标 
准 GB 50311 一 2007 规定 的 工作 区 实际 上 指 的 是 使 用 面积 ， 因 此 ， 和 需要 将 上 表 中 的 建筑 面积 
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转换 为 使 用 面积 ， 建 设 部 的 相关 规范 给 出 了 换算 系数 : S=J* (0.6 ~0.75)， 考 虑 到 目前 
的 建筑 物 使 用 面积 都 比较 大 ， 因 此 本 工程 按照 系数 0.75 来 取 。 有 具体 计算 方法 以 基础 部 为 例 
来 说 明 : 基础 部 建筑 物 属于 办 公 区 ， 工 作 区 按照 国家 标准 规定 ， 应 按照 10m /个 来 划分 ; 基 
础 部 的 建筑 面积 为 33784m*， 则 使 用 面积 为 33784 * 0.75 = 25338m2 ，25338/10 = 2533. 8 个 
工作 区 ， 即 2533 个 工作 区 。 按 照 国家 标准 规定 ， 每 个 工作 区 宜 按 照 两 个 信息 点 计算 ， 则 基 
础 部 的 信息 点 数量 为 5066 个 。 

对 于 如 学 生 宿舍 ， 特 点 是 工作 区 小 ， 通 常 小 于 5m ， 而 信息 量 很 大 ， 特 别 是 宿舍 住宿 采 
用 上 下 铺 时 ,信息 密度 变 得 比较 高 ; 而 男 一 方面 ， 对 于 话音 系统 来 讲 ， 则 又 比较 少 ， 往 往 一 
间 宿 舍 安 装 一 路 电话 即 可 。 因 此 在 计算 此 类 建筑 物 时 ， 学 生 和 宿舍 区 每 个 宿舍 按 4 个 学 生计 
算 ， 每 个 学 生 配 置 一 个 网 络 端口 ， 则 共有 10000 个 端口 。 

对 于 如 建筑 学 院 等 教室 类 建筑 ， 国 家 标准 规定 可 在 20 ~ 100m- 来 取 值 ， 考 虑 到 教室 只 
需要 在 讲台 处 的 多 媒体 台 处 安装 两 个 信息 点 即 可 ， 因 此 ， 对 于 如 建筑 学 院 类 的 教室 类 建筑 ， 
工作 区 按照 80m 来 取 ， 每 个 工作 区 两 个 信息 点 。 

3. 配 线 子 系统 

配 线 子 系统 是 国家 布线 标准 GBAT 50311 一 2007 中 的 正式 称谓 ， 在 其 他 布线 标准 中 ， 把 
配 线 子 系统 称 作 “水 平 布线 子 系统 ”。 

配 线 子 系统 示意 图 如 图 5-47 所 示 。 





















































| 
工作 区 电缆 tk 












1 楼层 配 线 间 


& me 


图 5-47 配 线 子 系统 示意 图 





配 线 子 系统 是 由 楼 层 配 线 间 至 各 工作 区 的 水 平 电缆 组 成 ， 该 电缆 一 端 卡 接 在 工作 区 中 的 
信息 插座 上 ， 田 一 端 卡 接 在 楼 层 配 线 间 的 配 线 架 上 。 水 平 线 绕 的 敷设 采用 金属 线 槽 与 预 埋 暗 
管 相 结合 的 方式 ， 具 体 安 装 依 据 施工 图 和 施工 规范 进行 。 水 平 电缆 的 最 大 布线 长 度 小 于 
85m， 小 于 标准 中 的 90m 距离 要 求 ， 充 分 保证 了 系统 的 性 能 。 

4. 干线 子 系统 (垂直 干线 子 系统 ) 

干线 子 系统 是 指 设 备 间 子 系统 与 管理 子 系统 之 间 的 连接 电缆 和 光缆 ， 是 建筑 物 中 的 主干 
线路 。 垂 直 干 线 均 采 用 16 芯 以 上 单 模 光 缆 。 单 模 光 缆 通 过 建筑 物 的 弱电 井 从 大 楼 主 配 线 间 
(BD) 引 至 各 楼 层 配 线 间 〈(FD )。 采 用 点 到 点 端 接 。 对 光缆 的 安装 将 严格 按照 施工 规范 进 
行 。 光 缆 两 端 打 标记 以 便于 管理 。 其 他 的 楼 宇 如 果 楼 层 较 低 ， 从 降低 成 本 的 角度 ， 应 部 分 采 
用 六 类 双 绞 线 进行 干 线 级 联 。 干 线 子 系统 示意 图 如 图 5-48 所 示 。 
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图 5-48 ”干线 子 系统 示意 图 


5. 管理 子 系统 

管理 子 系统 是 由 大 楼 内 的 配 线 架 部 分 组 成 ， 包 括 光 纤 配 线 架 、 快 接 式 6 类 配 线 架 、110 
配 线 架 、 接 插 软 线 。 一 般 来 说 ， 综 合 布线 工程 中 有 两 种 端 接 铜 绕 的 配 线 架 ， 一 种 是 快 接 式 配 
线 架 ， 这 种 配 线 架 适 用 于 综合 布线 系统 数据 传输 ， 管 理 简 单 ， 对 管理 者 的 要 求 不 高 ， 适 用 于 
6 类 线 缆 的 端 接 ; 另 一 种 是 110 配 线 架 ， 它 可 以 支持 语音 和 数据 的 传输 ， 对 管理 者 的 要 求 较 
高 ， 它 适用 于 5 类 及 5 类 以 下 线 缆 的 端 接 ， 并 且 它 的 价格 要 比 快 接 式 配 线 架 便宜 。 

在 本 工程 中 ， 根 据 需要 在 每 个 配 线 间 放置 一 个 420U 标准 机 柜 ， 机 柜 内 安装 快 接 式 配 线 
架 和 光纤 配 线 架 。 光 纤 配 线 架 选用 19in 1U 机 柜 式 光 纤 配 线 架 。 

在 各 个 分 配 线 间 为 保证 机 柜 空 间 容 量 ， 我 们 设置 标准 42U 网 络 机 柜 。 然 后 把 光纤 配 线 
架 、24 口 6 类 配 线 架 安 装 在 机 柜 中 对 语音 数据 点 进行 管理 。 

6. 建筑 群 子 系统 

本 工程 为 校园 网 工程 ， 建 筑 物 数量 众多 ， 需 要 仔细 考虑 建筑 群 布线 设计 。 根 据 以 往 的 经 
验 及 当前 技术 发 展 状况 ， 采 用 单 模 光 缆 作 为 校园 数据 干线 ， 在 每 栋 建 筑 物 的 主 配 线 间 处 设置 
分 支点 ， 与 每 栋 建 筑 物 的 综合 布线 干线 相连 接 。 建 议 单 模 光 缆 采 用 大 芯 数 的 光缆 ， 以 满足 未 
来 发 展 的 需求 。 校 园 网 干线 数据 光缆 结构 示意 图 如 图 5-49 所 示 。 











图 5-49 ”校园 网 干线 数据 光缆 结构 示意 图 
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$5.7.5 设备 间 的 环境 要 求 


设备 间 一 般 也 叫 设备 间 子 系统 ， 在 实际 工程 中 也 是 弱电 间 。 设 备 间 是 设置 进 线 设备 ， 进 
行 网 络 管理 且 有 管理 人 员 值 班 的 地 方 ， 设备 间 由 综合 布线 系统 的 建筑 物 进 户 线 设备 、 电 话 、 
网 络 设备 、 计 算 机 等 组 成 ， 是 放置 设备 的 地 方 。 由 于 设备 间 安 装 设 备 较 多 ， 所 以 要 做 好 网 络 
产品 和 电话 交换 机 的 空间 预 留 ， 设 备 的 安放 要 便于 管理 人 员工 作 。 

设备 间 统 一 配置 42U 标准 机 柜 ， 用 来 安放 计算 机 网 络 设备 和 光线。 具体 光 缆 和 大 对 数 
的 端 接 依据 施工 图 来 进行 。 机 柜 摆 放 前 面 净空 不 宜 小 于 0. 8m， 后 面 净空 不 宜 小 于 0.6m， 机 
柜 的 具体 位 置 将 依据 施工 图 样 来 摆 放 。 由 于 综合 布线 系统 本 和 映 并 不 包含 有 源 设备 ， 所 以 原则 
上 讲 , 设备 间 和 综合 布线 的 关系 不 大 ,但 是 ,综合 布线 是 计算 机 网 络 和 话音 系统 的 线路 基 
础 ， 为 了 便于 用 户 管理 ,综合 布线 的 配 线 架 要 求 放 在 设备 间 里 , 或 者 两 者 距离 不 能 超过 
30m 。 

设备 间 是 整个 配 线 系 统 的 中 心 单 元 ， 它 的 环境 条 件 考 虑 的 是 否 恰当 直接 影响 到 将 来 信息 
系统 的 正常 运行 及 维护 使 用 的 灵活 性 。 建 议 其 室内 照明 不 低 于 300Lx， 并 应 提供 UPS 电源 配 
电 盘 以 保证 网 络 设备 运行 及 维护 的 供电 。 如 数据 布线 采用 屏蔽 布线 系统 时 ， 应 备 有 合适 的 接 
地 线 。 设 备 间 的 环境 条 件 建议 如 下 : 

1) 室温 应 保持 在 18 ~27Y ， 相 对 温度 保持 在 30% ~55% 。 

2) 保持 室内 无 持 或 少 尘 ,通风 良好 。 

3) 安装 合适 的 消防 系统 。 

4) 使 用 防火 门 ， 至 少 能 耐火 1h 的 防火 墙 和 阻 燃 漆 。 

5) 提供 合适 的 门 锁 ， 至 少 要 有 一 扇 窗口 留 作 安全 出 口 。 

6) 分 配 线 间 应 注意 避免 电磁 干扰 和 和 雷击， 安装 阻 值 小 于 19 的 接地 装置 ; 尽量 远离 存 
放 危 险 物 品 的 场所 、 强 电 和 电磁 干扰 源 (如 发 射 机 和 电动 机 )。 

7) 设备 间 的 地 板 负 重 能 力 至 少 应 为 500kg/m 。 

8) 结构 化 布线 系统 中 典型 的 配 线 间 ， 可 以 走 进 人 的 最 小 安全 尺寸 是 120cm x 150em， 
标准 的 天 花 板 高 度 为 240cm， 门 的 大 小 至 少 为 高 2. lm 宽 Im， 外 开 。 

9) 所 用 材料 必须 符合 正 C 对 抗 拉力 、 压 力 和 拉力 的 承受 标准 。 


5.7.6 管道 设计 


1. 管道 的 路 由 选择 

室外 管道 的 路 由 和 整个 弱电 系统 的 布置 有 关 ， 几 是 综合 布线 需要 敷设 的 地 方 都 需要 室外 
管道 。 新 建 的 校园 不 建议 采用 架空 布线 的 方式 ， 而 是 全 部 采用 地 下 弱电 管道 。 室 外 管道 从 网 
络 机 房 开 始 延 伸 到 校园 的 各 个 角落 ， 以 满足 校园 计算 机 网 等 系统 敷设 线 缆 的 需要 。 管 道 的 路 
由 一 般 选 择 在 校园 的 主要 道路 上 。 但 由 于 校园 的 主干 道上 的 地 下 管线 很 多 ， 诸 如 下 水 管 、 供 
水 管 、 煤 气管 等 ， 同 时 道路 相对 较 窗 ， 因 此 将 弱电 管道 的 路 由 选择 在 靠近 建筑 物 的 绿化 带 不 
Sp nd 

2. 管道 容量 、 管 道 材 料 和 孔径 的 选择 

(1) 管道 容量 


大 多 数 的 学 校 都 选择 将 各 个 中 心 设置 在 一 个 建筑 单 体内 ， 如 计算 机 网 络 中 心 ， 这 样 便于 
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弱电 系统 的 维护 和 管理 。 出 信人 中心 的 管 遗 的 容量 要 根据 目前 所 需要 敷设 线 缆 的 种 类 、 数 量 来 
确定 ， 管 孔 的 含 线 率 为 50% 左右 ， 并 且 要 考虑 留 有 40% 左右 的 富余 量 ， 以 满足 今后 20 ~ 30 
年 的 需求 。 在 考虑 管道 容量 时 ， 要 结合 目前 弱电 各 个 系统 的 组 成 来 决定 所 需 敷设 线 缆 的 数量 
和 走向 。 不 同系 统 的 线 线 如 光线、 通信 电缆 、 广 播 、 有 线 电视 电线 、 监 控 用 视频 应 分 别 数 设 
在 不 同 的 管 孔 内 。 

(2) 管道 材料 

管道 的 材料 一 般 采 用 PVC 管 ， 只 有 在 一 些 车 辆 进出 口 和 管道 埋 深 达 不 到 规定 的 场所 才 
考虑 采用 钢管 。 不 建议 采用 混凝土 的 水 泥 管 作为 地 下 通信 管道 。 

(3) 孔径 的 选择 

在 校园 的 主干 路 由 和 分 文 路 由 上 ， 应 采用 统一 规格 的 管材 ， 一 般 为 $98PVC。 对 于 各 个 
弱电 系统 从 管道 分 文 出 去 的 地 下 管线 ， 由 于 穿 放 的 线 缆 种 类 单一 、 数 量 少 ， 可 以 用 440 的 
钢管 ， 例 如 室外 广播 点 、 室 外 监控 点 等 。 由 于 布点 分 散 ， 当 从 主干 管道 分 支 至 这 些 布点 处 
时 ， 地 下 管线 可 以 采用 440 的 钢管 ， 并 且 可 以 缩小 这 些 管 线 的 埋 深 。 铺 设 方式 为 沿 道路 绿 
化 市 下 铺设 。 





本 章 小 结 


本 章 以 大 型 园区 网 络 综合 布线 系统 设计 为 主题 ， 讨 论 了 大 型 园区 综合 布线 系统 方案 设计 
和 施工 技术 。 

1) 介绍 了 综合 布线 系统 的 相关 概念 、 特 点 、 结 构 和 组 成 。 

2) 详细 介绍 了 综合 布线 系统 中 的 网 络 传输 介质 。 

3) 重点 介绍 综合 布线 系统 设计 与 施工 技术 ， 并 对 测试 技术 进行 了 介绍 。 

4) 以 高 校 校园 网 为 例 ， 介 绍 了 一 个 网 络 综合 布线 系统 设计 方案 。 
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第 6 蔓 网 络 核心 机 房 建设 


6.1 网 络 核心 机 房 基 本 概念 


6.1.1 网 络 核心 机 房 的 概念 


网 络 核心 机 房 是 指 在 一 个 物理 空间 内 实现 信息 的 集中 处 理 、 存 储 、 传 输 、 交 换 、 管 理 的 
场所 ， 而 计算 机 设备 、 服 务 器 设备 、 网 络 设备 、 存 储 设 备 等 通常 认为 是 网 络 核心 机 房 的 关键 
设备 ， 关 键 设备 运行 所 需 环境 因素 ， 如 供 配 电 系 统 、 机 柜 系 统 、 消 防 系统 、 精 密 空 调 系统 、 
机 房 集 中 监控 系统 、 综 合 布线 系统 、 机 房 装修 等 通常 被 认为 是 关键 物理 基础 建设 。 

对 于 大 型 IT 企业 、 通 信和 运营 商 、 政 府 机 构 、 金 融 行 业 、 机 场 、 保 险 等 信息 化 程度 高 、 
数据 量 大 、 业 务 运行 要 求 高 等 企 事业 单位 ， 往 往 都 建设 有 一 流 的 网 络 核心 机 房 和 数据 中 心 ， 
为 信息 系统 的 运行 提供 符合 国家 标准 规范 的 机 房 环 境 ， 如 图 6-1 所 示 。 


A Er 
站 















图 6-1 网 络 核心 机 房 环 境 


6.1.2 网 络 核心 机 房 的 组 成 


如 果 我 们 把 网 络 核心 机 房 看 作 是 一 个 系统 ,那么 可 以 梳理 出 一 个 网 络 核心 机 房 应 该 包含 
的 过 到 主要 系 光 : 

1) 机 房 装饰 子 系统 。 机 房 环 境 包 含 装 修 装饰 工程 所 达到 的 符合 标准 的 机 房 空 间 布局 、 
简单 的 机 房 基 建设 施 ， 包 括 墙 面 、 地 面 、 防 静电 地 板 、 吊 项 、 防 火 门 、 隔 断 等 。 

2) 机 房 供电 子 系统 。 机 房 供 电 包括 市 电 引 入 、 线 路 、UPS 电源 、UPS 电池 间 、 发 电机 
组 、 电 源 布线 、 插 座 、PDU、 照 明 、 防 雷 接地 等 。 

3) 空调 通风 子 系统 。 机 房 空调 通风 子 系统 包括 精密 空调 机 组 、 室 外 机 、 水 冷 管道 、 新 
风 系 统 。 

4) 机 房 弱 电子 系统 。 机 房 弱 电子 系统 包括 机 柜 、 桥 架 、 配 线 架 、 理 线 架 、 光 统 、 跳 
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线 、KVM 系统 、 机 房 动力 环境 监控 、 网 络 管理 平台 等 。 
5) 消防 子 系统 。 消 防 子 系统 主要 包括 灭火 系统 、 气 体 灭火 装置 、 自 动 报警 装置 等 。 


6.1.3 电子 机 房 的 类 型 及 特点 


电子 机 房 主要 有 计算 机 机 房 、 电 信和 机房 、 控 制 机 房 、 屏 蔽 机 房 等 。 这 些 机 房 既 有 电子 机 
房 的 共性 ， 也 有 各 自 的 特点 ， 其 所 涵盖 的 内 容 不 同 ， 功 能 也 各 异 。 

1. 计算 机 机 房 

计算 机 机 房 内 放置 有 重要 的 数据 处 理 设 备 、 存 储 设备 、 网 络 传输 设备 及 机 房 保障 设备 。 
计算 机 机 房 的 建设 应 考虑 以 上 设备 的 正常 运行 ， 确 保 信息 数据 的 安全 性 以 及 工作 人 员 身 心 健 
康 的 需要 。 

大 型 计算 机 机 房 一 般 由 无 人 区 机 房 、 有 人 区 机 房 组 成 。 无 人 区 机 房 一 般 包 括 小 型 机 机 
房 、 服 务 嚣 机房、 存储 机 房 、 网 络 机 房 、 介 质 存储 间 、 空 调 设 备 间 、UPS 设备 间 、 配 电 间 
等 ; 有 人 区 机 房 一 般 包 括 总 控 中 心机 房 、 研 发 机 房 、 测 斌 机房、 设备 测试 间 、 设 备 维修 存储 
间 、 缓 冲 间 、 更 衣 室 、 休 息 室 等 。 

中 、 小 型 计算 机 机 房 可 将 小 型 机 机 房 、 服 务 器 机 房 、 存 储 机 房 等 合并 为 一 个 主机 房 。 

2. 电信 机 房 

电信 机 房 是 每 个 电信 运营 商 的 宝贵 资源 ， 合 理 、 有 效 、 充 分 地 利用 电信 机 房 ， 对 于 设备 
的 运行 维护 、 快 速 处 理 设 备 故 障 、 降 低 成 本 、 提 高 企业 的 核心 竞争 力 等 具有 十 分 重要 的 意 
义 。 电 信和 机 房 一 般 是 按 不 同 的 功能 和 专业 来 区 分 和 布局 的 ， 通 常 分 为 设备 机 房 、 配 套 机 房 和 
辅助 机 房 。 

设备 机 房 是 用 于 安装 某 一 类 通信 设备 ， 实 现 某 一 种 特定 通信 功能 的 建筑 空间 ， 便 于 完成 
相应 专业 内 的 操作 、 维 护 和 生产 ， 一 般 由 传输 机 房 、 交 换 机 房 、 网 络 机 房 等 组 成 。 配 套 机 房 
是 用 于 安装 保证 通信 设施 正常 、 安 全 和 稳定 运行 的 设备 的 建筑 空间 ， 一 般 由 计 费 中 心 、 网 管 
监控 室 、 电 力 电 池 室 、 变 配 电 室 和 油 机 室 等 组 成 。 

辅助 机 房 是 除 通信 设施 机 房 以 外 ,保障 生产 、 办 公 、 生 活 需 要 的 用 房 ， 一 般 由 运 维 办 公 
室 、 运 维 值班 室 、 资 料 室 、 备 品 备件 库 、 消 防 保安 室 、 新 风机 房 、 钢 瓶 间 和 卫生 间 等 组 成 。 
在 一 般 智 能 建筑 中 通信 机 房 经 常 与 计算 机 网 络 机 房 合 建 。 

3. 控制 机 房 

随 着 智能 化 建筑 的 发 展 ， 为 实现 对 建筑 中 智能 化 楼 宇 设 备 的 控制 ， 必 需 设立 控制 机 房 。 
控制 机 房 相对 于 数据 机 房 、 电 信和 机 房 而 言 ， 机 房 面 积 较 小 ， 功 能 比较 单一 ， 对 环境 要 求 较 
低 ， 但 却 关系 到 智能 化 建筑 的 安全 运行 及 设备 、 设 施 的 正常 使 用 。 

控制 机 房 包 括 楼 宇智 能 控制 机 房 、 保 安 监控 机 房 、 消 防 控制 室 、 卫 星 接收 机 房 、 视 频 会 
议 控制 机 房 等 。 这 些 控制 机 房 的 共同 特点 是 机 房 内 均 有 操作 人 员工 作 ， 在 保证 电子 设备 运行 
的 同时 还 要 保证 操作 人 员 的 映 心 健康 。 根 据 设备 及 操作 的 要 求 ， 这 些 控制 机 房 也 有 其 相应 的 
特点 。 

1) 楼 宇智 能 控制 机 房 : 主要 用 于 安放 楼 宇智 能 控制 的 主机 及 控制 设备 ， 对 智能 建筑 内 
的 公共 照明 、 空 调 系统 、 电 梯 及 建筑 内 的 风 、 水 、 电 等 机 电 设备 进 行 实时 监控 ， 以 确保 智能 
建筑 的 安全 运行 。 

2) 安保 监控 机 房 : 内 设 监控 主机 及 终端 显示 设备 ， 对 建筑 各 出 人口、 车 库 、 走 道 、 电 
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梯 轿 箱 等 进行 视频 监控 、 防 盗 报警 等 。 

3) 消防 控制 室 : 是 火灾 自动 报警 和 联动 系统 的 控制 中 心 ， 也 是 火灾 时 灭火 指挥 和 信息 
中 心 ， 具 有 十 分 重要 的 地 位 和 作用 。《 高 层 民 用 建筑 设计 防火 规范 》GB 50045 一 1995 和 《 建 
筑 设 计 防 火 规 范 》GB 50016 一 2006 对 消防 监控 机 房 的 设置 范围 、 位 置 、 建 筑 耐 火 性 能 都 做 
了 明确 规定 ， 并 对 其 主要 功能 提出 了 原则 性 要 求 。 

4) 卫星 接收 机 房 : 主要 用 于 安放 卫星 接收 机 、 调 制 解 调 器 、 混 合 器 、 放 大 器 、 有 线 光 
缆 接 入 设备 、 各 频段 接收 显示 器 等 。 卫 星 接收 机 房 一 般 是 位 于 建筑 顶层 ， 有 利于 卫星 电视 信 
号 的 传输 。 

5) 视频 会 议 控制 机 房 : 主要 用 于 安放 视频 会 议 主 控 单元 (MCU) 、 调 音 台 、 音 响 扩 声 
系统 、 信 和 号 传输 设备 、 控 制 台 设备 、 信 和 号 源 机柜 等 。 但 由 于 一 般 的 视频 会 议 控制 机 房 面积 较 
小 ,在 设备 布置 时 应 根据 房间 的 具体 情况 灵活 布置 。 

4. 屏蔽 机 房 

为 了 有 效 地 防止 电磁 干扰 式 噪声 、 辐 射 对 电子 设备 和 测量 仪器 的 有 影响， 并 严防 电子 信号 
泄露 从 而 威胁 到 机 密 信 息 的 安全 ， 国 家 机 关 、 军 队 、 人 公安、 银行 、 铁 路 等 单位 需要 建立 屏蔽 
机 房 。 有 保密 要 求 的 数据 机 房 应 建设 屏蔽 机 房 ， 确 保 数 据 在 处 理 过 程 中 ， 其 信号 不 泄露 ， 从 
而 满足 数据 保密 的 要 求 。 一 些 对 抗 电磁 干扰 要 求 较 高 的 环境 ， 如 通信 设备 的 测试 试验 室 等 场 
所 ,需要 建设 屏蔽 机 房 ， 以 防止 外 界 电 磁 信 号 的 干扰 。 有 强 电磁 干扰 设备 的 机 房 应 进行 相应 
的 电磁 屏蔽 处 理 ， 以 避免 干扰 临近 机 房 设备 的 正常 运行 。 



































6.2 网络 核心 机 房 规划 与 设计 


6.2.1 机 房 布 局 规划 设计 


网 络 核心 机 房 建设 是 集 建筑 、 电 气 、 安 装 、 网 络 等 多 个 专业 技术 于 一 体 的 工程 ， 核 心机 
房 的 环境 必须 满足 计算 机 等 各 种 微机 电子 设备 和 工作 人 员 对 温度 、 湿 度 、 洁 净 度 、 电 磁场 强 
度 、 消 防 、 保 安 、 电 源 质量 、 防 雷 和 接地 等 的 要 求 。 网 络 核心 机 房 规划 设计 及 施工 的 优 劣 直 
接 关 系 到 各 网 络 系统 能 和 否 稳定 可 靠 地 运行 ， 保 证 各 类 信息 通信 畅通 无 阻 。 校 园 网 核心 机 房 按 
照 功能 划分 ， 可 设置 以 下 几 个 分 区 : 

1) 网 络 主干 设备 区 : 网 络 主干 设备 区 通常 是 整个 园区 网 络 的 核心 部 位 。 为 保证 设备 的 
安全 使 用 和 便于 维护 ， 必 须 在 核心 机 房 中 设置 独立 的 网 络 主干 设备 区 。 在 网 络 主干 设备 区 中 
的 设备 包括 网 络 核心 交换 机 、 路 由 器 、 防 火 墙 设备 、 接 入 设备、 通信 线 缆 及 接 人 光电 信和 号 转 
换 设备 、 校 园 局 域 网 骨干 光纤 配 线 架 、 机 房 网 络 布线 配 线 架 、VPN 服务 接 入 设备 及 无 线 网 
桥接 设备 等 。 

2) 服务 器 区 : 服务 器 区 是 安置 提供 信息 服务 的 设备 的 工作 区 。 这 些 服务 器 提供 的 信息 
服务 除了 面向 校园 网 用 户外 ， 通 常 还 面向 外 部 网 络 的 用 户 。 由 于 服务 器 工作 间 的 设备 多 、 噪 
声 大 、 发 热量 高 ， 在 规划 设计 时 应 该 注意 满足 良好 的 通风 、 散 热 和 隔绝 噪声 的 要 求 。 为 便于 
维护 和 管理 ， 在 服务 器 工作 区 中 还 应 该 配置 专门 的 隅 架 或 轨道 ， 按 上 下 双 层 或 多 层 放置 各 种 
服务 器 ， 同 时 配备 多 计算 机 控制 器 KVM (Keyboard 、Video 、Mouse) 以 及 机 柜 专 用 电源 分 
配 单元 PDU (Power Distribution Unit ) 。 
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3) 系统 维护 工作 区 : 专门 的 系统 维护 工作 区 是 进行 系统 管理 必要 的 工作 条 件 ， 各 种 网 
络 设备 和 计算 机 设备 的 维护 ， 新 系统 和 新 软件 的 试用 评估 通常 都 在 这 里 进行 。 

4) 信息 技术 人 员 办 公 区 : 信息 技术 人 员 办 公 区 应 该 包括 网 络 与 系统 维护 人 员 办 公 室 、 
软件 开发 与 应 用 人 员 办 公 室 、 系 统 资料 和 数据 备份 存档 室 。 

5) 机 房 监控 区 : 机 房 监控 区 是 对 全 网 设备 集中 监控 和 管理 的 区 域 。 

大 型 园区 网 络 的 核心 机 房 内 涉及 的 设备 较 多 ， 如 何 合理 布局 是 一 项 较 重要 的 工作 。 应 充 
分 考虑 机 房 的 面积 、 设 备 数量 及 大 小 、UPS、 空 调 、 电 力 柜 、 消 防 等 设备 的 具体 要 求 ， 规 划 
设计 合理 的 走廊 及 维修 空间 。 

目前 ， 一 种 常见 的 机 房 布 局 为 : 机 柜 按 列 分 组 摆 放 ， 使 用 UPS 作为 列 头 柜 ， 分 别 给 每 
列 机 柜 中 的 PDU 供电 。 该 布局 结构 可 以 减少 UPS 电池 集中 摆 放 所 造成 的 地 板 负 重 ， 同 时 也 
可 根据 每 列 机 柜 中 的 设备 不 同 选 用 不 同 的 UPS 负载 。 


6.2.2 机 房 工程 


根据 网 络 核 心机 房 的 功能 及 其 组 成 ,一般 大 型 机 房 工程 可 以 分 为 装修 工程 、 弱 电工 程 、 
电气 工程 、 空 调 新 风 系统 、 消 防 工程 五 大 部 分 。 机 房 整体 工程 分 解 图 ， 如 图 62 所 示 。 











图 62 ”机房 整体 工程 分 解 图 


1. 装修 工程 

装修 工程 主要 是 完成 机 房 建筑 环境 的 设计 和 施工 ， 重 点 是 防 静 电 地 板 、 天 花 吊 顶 等 ， 除 
了 要 做 到 精细 化 设计 ， 主 要 是 材料 选用 方面 要 达到 环保 节能 的 要 求 ， 并 且 隔 断 墙 、 钢 制 防火 
门 等 都 要 符合 标准 。 

2. 弱电 工程 

弱电 工程 是 整个 机 房 工程 中 非常 重要 的 一 块 ， 需 要 完成 机 房 的 综合 布线 、 环 境 监控 、 视 
频 监 控 、 门 禁 、 网 络 监控 、KVM 系统 、 网 络 管理 平台 等 。 特 别 是 综合 布线 系统 要 做 到 精细 
化 设计 ， 并 且 充 分 考虑 从 列 头 柜 到 各 机 柜 之 间 的 布线 方式 、 跳 线 走 线 方式 ， 发 挥 桥架 的 作 
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用 ， 做 到 美观 整洁 、 标 识 有 序 、 便 于 管理 。 

3. 空调 、 新 风 系 统 

空调 、 新 风 系 统 的 设计 与 安装 是 大 型 网 络 机 房 必须 解决 好 的 问题 。 要 实现 机 房 恒温 恒 混 
并 且 符 合 机 房 温 湿度 环境 要 求 ， 必 须要 充分 考虑 空调 容量 、 备 份 机 组 等 功率 设计 、 室 外 机 位 
置 、 新 风 系 统 引 入 等 线路 设计 ， 机 房 冷风 通道 、 热 风 通 道 的 设计 。 因 为 机 房 空 调 需 要 冷水 管 
道 引 入 和 排水 ， 还 要 充分 考虑 漏水 自动 检测 ， 并 且 设 计 报 警 系统 。 

4. 电气 工程 

安全 、 可 靠 是 供 配 电 系统 机 房 设 计 和 施工 的 关键 出 发 点 。 由 于 机 房 的 供 配 电 系统 、 照 
明 、 设 备 防 雷 、 机 房 接 地 、UPS 不 间断 电源 等 与 一 般 的 强 电 设计 有 所 不 同 ， 又 与 弱电 专业 
的 十 几 个 子 系统 密切 相关 。 因 此 ， 在 设计 和 施工 前 必须 充分 了 解 并 掌握 供电 对 象 。 充 分 
搜集 机 房 设 备 和 系统 的 资料 才能 做 好 电源 布置 和 系统 设计 ， 从 而 合理 地 满足 机 房 的 用 电 
要 求 。 

5. 消防 工程 

消防 工程 包含 火灾 自动 报警 系统 、 消 火 栓 系统 、 气 体 灭 火 系统 、 防 排 烟 系统 、 消 防 应 急 
臣 散 系统 、 消 防 广播 通信 系统 、 防 火 隅 断 系 统 〈 卷 帘 门 、 防 火 门 )、 泡 沫 灭火 系统 、 漏 电 火 
灾 上 自动 报警 系统 、 消 防 电梯 系统 。 


6.3 网 络 机 房 选 址 及 机 房 装修 








6.3.1 机 房 选 址 考虑 的 因素 


选择 网 络 核心 机 房 的 地 理 位 置 很 重要 。 对 于 一 个 大 型 园区 ， 网 络 核心 机 房 选 址 有 一 些 细 
节 性 因素 要 充分 考虑 。 

1) 要 考虑 布线 的 经 济 合理 性 ， 服 务 相 应 时 间 最 省 。 一 般 应 选择 园区 中 心 位 置 附近 的 楼 
宇 ， 从 网 络 布线 的 角度 ， 它 到 达 整 个 园区 任何 一 个 楼 宇 的 距离 都 是 最 短 的 ， 具 有 从 中 心 到 局 
部 的 敷设 作用 ， 也 符合 网 络 结构 化 布线 和 网 络 拓扑 结构 的 设计 要 求 。 

2) 要 考虑 避免 一 定 的 干扰 。 网 络 核心 机 房 要 避 开 强 电磁 场 干扰 ， 应 远离 水 灾 和 火灾 隐 
患 区 域 ， 远 离 强 振 源 和 强 噪 声 源 ; 还 应 远离 产生 粉 侍 、 油 烟 、 有 害 气 体 以 及 生产 或 贮存 具有 
腐蚀 性 、 易 燃 、 易 爆 物 品 的 场所 。 

3) 机 房 所 在 的 楼 宇 电力 供应 稳定 可 靠 ， 交通 、 通 信 应 便捷 ， 自 然 环境 清洁 。 

4) 对 于 多 层 或 建筑 物 内 的 电子 信息 系统 机 房 ， 在 确定 主机 房 的 位 置 时 ， 应 对 设备 运 
输 、 管 线 敷设 、 雷 电感 应 和 结构 丛 载 等 问题 进行 综合 分 析 和 经 济 比较 ， 选 择 各 方面 条 件 都 较 
好 的 位 置 。 

5) 网 络 核 心机 房 不 宜 设置 在 地 下 一 层 或 高 屋 。 目 前 从 选 址 上 看 ， 网 络 核 心机 房 设计 在 
一 层 是 比较 理想 的 ， 对 管线 敷设 、 设 备 搬运 、 管 理 等 都 比较 有 利 。 

6) 机 房 外 要 充分 考虑 室外 空调 机 的 安装 条 件 ; 同时 也 要 考虑 新 风 管 道 进 入 核心 机 房 的 
有 利 条 件 。 


6.3.2 机 房 室 内 装修 
众所周知 ， 网 络 核心 机 房 的 装饰 ， 不 同 于 普通 的 计算 机 房 、 办 公 室 、 家 庭 装 饰 。 核 心机 
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房 装饰 工程 是 一 项 系统 工程 ， 是 电子 科学 技术 和 装饰 艺术 的 综合 。 机 房 内 放置 有 复杂 的 电子 
设备 和 机 电 设 备 ， 对 装饰 的 要 求 ， 主 要 是 满足 开 设备 对 机 房 提 出 的 技术 要 求 ， 在 机 房 装 饰 
艺术 上 以 既 大 方 舒适 ， 又 满足 其 技术 要 求 为 原则 。 对 装饰 材料 的 选择 要 达到 吸音 、 防 火 、 防 
潮 、 防 变形 、 抗 干扰 、 防 静电 等 要 求 。 装 饰 后 ， 要 使 整个 机 房 色 调 柔 和 、 通 透 宽敞 、 不 压 
抑 、 和 舒适 ， 以 期 达到 现代 化 的 装饰 水 平和 视觉 效果 。 

电子 信息 系统 机 房 室 内 装饰 装修 包括 吊顶 、 隔 断 、 地 面 处 理 、 活 动 地 板 、 内 墙 和 顶棚 及 
柱 面 处 理 、 门 窗 制 作 安装 及 其 他 作业 的 施工 及 验收 。 关 于 机 房 室 内 装修 ， 国 家 在 《电子 信 
息 系 统 机 房 施工 及 验收 规范 》 GB 50462 一 2008 中 已 做 了 明确 细致 的 规定 。 室 内 环境 污染 的 
控制 及 装饰 装修 材料 的 选择 应 按 现行 国家 标准 《民用 建筑 工程 室内 环境 污染 控制 规范 》GB 
50325 一 2010 的 有 关 规 定 执行 。 各 工种 的 施工 环境 条 件 应 符合 施工 材料 说 明 书 的 要 求 。 吊 
顶 、 隔 断 墙 、 内 墙 和 顶棚 及 柱 面 、 门 窒 以 及 窗帘 盒 、 暖 气 置 、 踢 脚板 等 施工 的 验收 内 容 和 方 
法 ， 应 符合 现行 国家 标准 《建筑 装饰 装修 工程 质量 验收 规范 》GB 50210 一 2001 的 有 关 规 定 。 
地 面 处 理 施工 的 验收 内 容 和 方法 ， 应 符合 现行 国家 标准 《建筑 地 面 工程 施工 质量 验收 规范 》 
GB 50209 一 2010 的 有 关 规 定 。 防 静电 活动 地 板 的 验收 内 容 和 方法 ， 应 符合 国家 现行 标准 
《 防 静 电 地 面 施工 及 验收 规范 》 SJAT 31469 一 2002 的 有 关 规 定 。 其 他 方面 的 施工 规范 和 细节 
在 本 书 中 不 再 歼 述 ， 可 参阅 国家 标准 执行 。 


























6.4 供 配 电 系统 


6.4.1 供 配 电 概 述 


机 房 电 气 工 程 中 机 房 供 配 电 系统 是 数据 中 心机 房 的 生命 线 ， 因 此 要 建 一 个 好 的 机 房 ， 首 
先 要 将 供 配 电 问 题解 决 好 。 在 机 房 电 气 工 程 中 ， 安 全、 稳定 、 可 靠 的 电力 供应 是 机 房 供 配 电 
系统 设计 的 关键 出 发 点 。 由 于 机 房 的 供 配 电 系统 、 照 明 、 设 备 防 雷 、 机 房 接 地 、UPS 不 间断 
电源 等 与 一 般 的 强 电 设 计 有 所 不 同 ， 又 与 弱电 专业 的 十 几 个子 系 统 密 切 相 关 。 因 此 ， 它 们 处 
于 强 、 弱 电 专 业 设 计 分 工 的 接合 部 分 。 

在 机 房 供 配 电 系统 的 设计 中 ， 经 常 出 现 的 问题 有 : 机 房 各 子 系统 的 设计 深度 差距 较 大 ; 
主要 弱电 机 房 预 留 的 位 置 不 合适 ， 面 积 过 大 或 偏 小 ， 弱 电 竖井 中 遗漏 接地 干线 和 电源 插座 ; 
UPS 电源 容量 、 支 持 时 间 长 短 不 一 ; UPS 电源 供电 方式 是 采用 集中 式 还 是 分 散 式 不 能 确定 ; 
各 子 系统 的 供电 和 接地 方式 不 规范 等 。 在 一 部 分 设计 文件 中 ， 还 经 常 发 现 有 文字 说 明 描 述 不 
清楚 、 系 统 图 和 平面 图 五 花 八 门 、 图 形 符号 不 按 现 行 制 图 标准 绘制 等 问题 。 

1. 电源 布置 和 系统 设计 

设计 和 施工 必须 充分 了 解 并 掌握 供电 对 象 。 充 分 搜集 机 房 设备 和 系统 的 资料 才能 做 好 电 
源 布置 和 系统 设计 ， 从 而 合理 地 满足 机 房 用 电 需 要 。 

机 房 应 设 单独 电源 管理 间 ， 用 符合 防火 要 求 的 隔 墙 与 弱电 设备 隔离 ， 避 免 电源 管理 间 噪 
声 、 著 电池 酸 碱 液 渗 漏 和 电气 火灾 等 传播 到 计算 机 设备 机 房 内 。 通 常 的 做 法 是 设置 电源 管理 
间 和 电池 间 。 将 电源 管理 间 和 电池 间 分 开 独 立 设置 的 好 处 是 : 蓄电池 房间 可 单独 封闭 管理 ， 
减少 了 腐蚀 性 的 危害 。 

网 络 核心 机 房 与 电源 管理 间 中 间 设 单 忆 大 电源 管理 间 方 向 开局 的 连通 门 ， 还 可 考虑 设置 
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玻璃 观察 视窗 。 电 源 管 理 间 应 做 水 泥 地 面 ， 为 防 泣 、 防 湿 可 砌 高 0.3 ~0.5m 的 水 泥 平 台 搁 
置 配 电 柜 和 UPS 电源 等 。 专 用 电池 间 与 UPS 电源 室 场 景 图 如 图 6-3 所 示 。 





图 6-3 专用 电池 间 与 UPS 电源 室 场 景 


根据 国家 标准 规范 ， 不 同类 别 的 机 房 对 电源 的 要 求 如 下 : 

1) A 类 机 房 : 停电 后 会 产生 重大 损失 和 社会 影响 ， 要 求 建立 不 停电 电源 系统 。 

2) B 类 机 房 : 停电 后 会 产生 一 定 损失 和 社会 影响 ， 要 求 建立 备用 电源 系统 。 

3) C 类 机 房 : 停电 后 不 会 产生 大 的 损失 和 社会 影响 可 按 一 般 用 户 配置 。 

从 电力 应 用 方面 ， 市 电 主要 提供 空调 设备 、 普 通 照 明和 给 排 风 、 维 修 插座 、 一 般 动 力 等 
的 电力 。 不 间断 电源 UPS 主 供 : 主机 设备 、 网 络 设备 、 保 安 监 挖 设备、 多 媒体 、 消 防 、 应 
急 照明 等 。 

2. 市 电 要 求 

对 于 达到 一 级 负载 的 机 房 应 该 具备 从 不 同 变电站 供给 的 双 路 供电 ， 加 上 柴油 发 电机 ， 通 
过 应 急电 源 柜 切换 后 供给 机 房 内 的 UPS 和 精密 空调 机 组 。 双 路 供电 应 装配 自动 转换 开关 ， 
实现 目 动 倒 曾 。 

备用 发 电机 系统 是 至 关 重 要 的 一 个 因素 。 即 便 其 中 有 一 个 故障 时 ， 也 能 够 直接 向 计算 机 
和 其 他 设备 提供 一 个 理想 质量 和 容量 的 电力 供应 。 发 电机 的 设计 应 能 够 处 理 UPS 系统 或 IT 
设备 负载 的 谐 流 电 流 。 备 用 发 电机 应 该 提供 备用 电源 给 所 有 的 冷却 设备 ， 避 人 免 负 载 设备 温度 
上 升 以 及 停止 运行 。 如 果 发 电机 不 支持 这 些 系统 ， 它 们 所 带 来 的 益处 就 显得 很 有 限 。 在 自动 
控制 发 生 故 障 时 ， 发 电机 应 该 能 够 采用 手动 控制 。 应 该 给 每 一 个 发 电机 输出 提供 瞬时 电压 浪 
消 抑 制 (TVSS) 涨 置 。 

发 电机 燃料 应 该 是 柴油 ， 这 样 起 动 比较 快 。 考 虑 现场 储藏 量 的 要 求 ， 通 常 需要 保证 有 可 
使 用 4 小 时 到 60 天 的 储藏 量 。 并 且 需 要 给 所 有 燃料 储藏 系统 提供 一 个 远程 的 燃料 监控 和 和 警 
报 系统 。 由 于 微生物 增长 是 柴油 燃料 最 常见 的 问题 ， 应 设计 有 便携 的 或 安装 固定 的 清洁 系 
统 。 在 寒冷 的 季节 ， 需 要 考虑 给 燃料 系统 加 热 或 循环 ， 避 免 某 油 燃料 胶 凝 。 当 确定 好 现场 燃 
料 储藏 系统 的 容量 时 ， 同 时 需要 考虑 燃料 供 货 商 在 紧急 情况 下 的 反应 时 间 。 

在 发 电机 周围 提供 UPS 照明 电源 或 单独 的 电池 ， 以 备 在 发 电机 和 装置 同时 发 生 故 障 时 
提供 照明 。 同 样 ， 在 发 电机 周围 也 应 该 提供 UPS 供电 插座 。 

除 组 件 的 分 别 测试 外 ， 备 用 发 电机 系统 、UPS 系统 和 自动 转换 开关 应 该 作为 一 个 系统 一 
起 测试 。 在 元 余 系统 测试 单个 组 件 的 故障 时 ， 元 余 系 统 是 为 在 一 个 组 件 发 生 故 障 时 能 够 继续 
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起 作用 而 设计 的 。 此 外 ,一旦 网 络 核心 机 房 开始 运行 ， 应 该 定期 测试 系统 ， 确 保 各 个 组 件 能 
够 继续 正常 地 发 挥 作用 。 

3. 动力 供 配 电 系统 

由 总 配 电 柜 输出 的 动力 供 配 电 系 统 采用 50Hz 交流 电 ，380/220V 三 相 五 线 电源 ，TN-S 
接地 方式 ， 零 线 和 地 线 分 开设 置 且 零 、 地 线 之 间 的 电压 小 于 1V。 动 力 配 电 柜 、 照 明 配 电 箱 
采用 放射 式 配 电 直 接 配 至 各 用 电 设备 。 机 房 内 所 有 线 绕 须 设计 钢 制 桥架 、 线 槽 或 钢管 敷设 。 
由 于 精密 空调 的 供电 电流 大 、 人 负载 动 态 范 围 宽 ， 为 防止 干扰 ， 应 考虑 妃 选 路 径 单 独 数 设 电 


大 
红 。 








动力 配 电 柜 ( 箱 ) 具有 火警 联动 保护 功能 ， 出 现 火警 时 可 与 消防 系统 联动 及 时 切断 电 
源 ， 关 闭 防 烟 防 火 效 ， 并 且 在 值班 室 安装 手动 电源 切断 装置 。 动 力 柜 、 照 明 箱 内 的 开关 和 主 
要 元 器 件 采用 进口 产品 ， 并 设置 有 效 的 防 雷 措施 。 有 条 件 时 ， 大 型 机 房 最 好 采用 专用 电力 变 
压 器 供电 。 

4. UPS 供 配 电 系统 

UPS 供 配 电 系统 的 供电 范围 包括 计算 机 设备 〈 主 机 和 附属 设备 ) 、 通 信 设 备 、 网 络 设 
备 、 保 安 监控 设备 、 消 防 系统 、 应 急 照 明 等 。UPS 输出 配 电 回 路 (每 个 配 电 控制 开关 为 一 
个 回路 ) 需 按 机 房 内 设备 要 求 设置 ， 小 型 机 /服务 器 、 网 络 核心 交换 机 及 重要 路 由 器 要 由 独 
立 双 回 路 供电 ， 其 他 计算 机 设备 可 用 一 个 回路 带 3 ~4 个 插座 ， 固 定 于 地 板 下 。UPS 电源 分 
别 送 到 主机 房 配 电 柜 (未 端 ) ， 既 可 靠 ， 又 方便 使 用 。 还 应 该 考虑 为 数据 中 心中 关键 的 负载 
设备 安装 电源 分 配 单元 (PDU) ， 这 些 设 施 是 合并 了 几 个 组 件 功能 的 一 个 装置 ， 通 常 很 小 ， 
比分 开 安 装 几 个 独立 的 面板 和 变压器 更 有 效 。 如 果 机 房 细 分 为 不 同 的 房间 或 空间 ， 每 一 个 房 
间或 空间 是 由 它们 各 自 独立 的 紧急 电源 开关 (EPO) 所 支持 ， 那 么 这 些 空间 应 该 拥有 自己 独 
立 的 水 平分 布 区 域 。 

电源 分 配 单元 (PDU) 集成 了 独立 的 变压器 、 瞬 时 电压 浪 涌 抑 制 (TVSS) 、 输 出 面板 和 
电源 控制 功能 ， 并 具有 更 多 的 优点 。 一 个 典型 的 PDU 包括 以 下 组 件 : 

1) 离线 变压器 : 双 输 入 断路 器 应 被 视 为 允许 连接 一 个 临时 接 驶 ， 人 允许 维护 或 资源 再 分 
布 时 不 用 关闭 关键 的 负载 。 

2) 变压器 : 尽 可 能 靠近 负载 以 减少 从 地 线 到 零 线 之 间 的 共 模 噪声 ， 减 少 电压 源 接地 和 
诗 号 源 接地 之 间 的 差别 。 当 变压器 位 于 PDU 内 时 ， 就 达到 了 最 近 的 位 置 。 

3) 瞬时 电压 浪 涌 抑 制 (TVSS) : 美国 标准 UL1449 是 对 瞬时 电压 浪 涌 抑 制 器 的 要 求 ， 
它 不 但 有 结构 和 机 械 方面 的 要 求 ， 还 有 相当 多 的 电气 性 能 方面 的 测试 。 当 导线 长 度 尽 可 能 的 
短 时 ， 瞬 时 电压 浪 涌 抑 制 (TVSS) 装置 的 效率 将 大 大 提高 。 通 过 在 同一 个 装置 中 提供 瞬时 
电压 浪 涌 抑 制 (TVSS) 装置 ， 可 以 提高 效率 。 

4) 分 配 面板 : 可 以 将 面板 与 变压器 安装 在 同一 个 机 柜 中 或 在 需要 更 多 面板 的 情况 下 ， 
可 以 使 用 一 个 远程 的 电源 面板 。 

5) 计量 、 监 测 、 警 报 和 远程 控制 : 当 提 供 一 个 传统 的 面板 系统 时 ， 通 常 意味 着 有 大 量 
的 空间 要 求 。 

6) 紧急 电源 关闭 (EPO) 控制 。 

单 点 接地 总 线 应 该 用 电力 分 配 单元 (PDU) 将 电源 分 配 到 关键 的 负载 上 。 在 需要 额外 
分 支 电路 的 地 方 ， 面 板 或 PDU“sidecars” 可 以 是 次 级 反馈 的 。 应 该 提供 两 个 宛 余 PDU 给 每 
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个 机 架 供 电 ， 每 一 个 PDU 最 好 采用 不 同 的 UPS 系统 供电 。 提 供给 单 相 或 三 相 计 算 机 设备 一 
个 可 以 安装 在 机 架 上 的 快速 转换 开关 或 从 每 一 个 PDU 人 馈 给 的 静态 开关 。 应 该 考虑 用 彩色 的 
表示 有 牌 和 僻 给 电 统 来 区 别 A 和 B 的 分 布 ， 例 如 ， 所 有 的 A 用 白色 ， 所 有 的 B 用 蓝 色 。 

一 条 电路 不 应 该 服务 多 于 一 个 机 架 ， 以 防止 一 条 电路 对 多 个 机 架 产 生 电路 故障 。 为 了 提 
供 元 余 ， 每 一 个 机 架 和 机 柜 应 该 用 两 个 专用 的 、 从 两 个 不 同 的 电力 分 配 单元 (PDU) 或 供 
电 面板 来 的 16A、2207V 的 电路 。 对 于 高 密度 的 机 架 可 能 要 求 更 高 的 安培 容量 ， 一 些 新 服务 
器 可 能 要 求 一 个 或 多 个 、 单 相 或 三 相 插座 ， 额 定 电流 要 求 50A 或 更 高 。 每 一 个 插座 应 该 用 
服务 于 它 的 PDU 或 电路 号 来 标识 。 

5. 配 电 设备 的 安装 和 线路 敷设 的 问题 

在 机 房 设 备 布 局 确定 的 前 提 下 ， 按 照 电气 设备 用 途 和 设计 图 纸 进 行 设备 安装 和 线路 表 











设 。 

(1) 设备 安装 

机 房 配 电 柜 、UPS 电源 柜 落 地 安装 。 动 力 配 电 箱 、 照 明 配 电 箱 底 边 距 地 1. 4m 墙 上 暗 
装 。 根 据 机 房 内 设备 负载 容量 和 分 布 情 况 ， 机柜 〈 箱 ) 内 元 事件 配置 要 做 到 排列 有 序 、 安 
装 牢 固 、 理 线 整 齐 、 接 线 正 确 、 标 志明 显 、 外 观 良 好 ， 内 外 清洁 。 分 设 单 相 、 三 相 回路 ， 配 
用 小 型 真空 断路 器 ， 如 C65N 等 线路 保护 开关 。 箱 内 设置 辅助 等 电位 接地 母 排 。 电 源 柜 及 其 
他 电气 装置 的 底座 应 与 建筑 楼 地 面 牢靠 固定 。 电 气 接线 盒 内 无 残留 物 ， 盖 板 整齐 、 严 密 、 紧 
贴 墙 面 。 同 类 电气 设备 安装 高 度 应 一 致 。 吊 顶 内 电气 装置 应 安装 在 便于 维修 的 地 方 。 特 种 电 
源 配 电 装 置 应 有 明显 标志 ， 并 注 明 频率 、 电 压 。 暗 装 照 明 箱 或 开关 面板 安装 在 机 房 出 人口 附 
近 墙 面 的 方便 操作 的 位 置 。 分 体 空 调 插座 设置 在 机 房 内 墙 面 上 叱 地 1. 8m 处 。 

主机 房 内 应 分 别 设置 维修 和 测试 用 电源 插座 ， 两 者 应 有 明显 的 区 别 标志 。 测 试用 电源 插 
座 应 由 计算 机 主机 电源 系统 供电 。 其 他 房间 内 应 适当 设置 维修 用 电源 插座 。 单 相 检 修 电 源 回 
路 要 在 电源 管理 间 各 墙 面 距 地 0. 3m 处 设置 检修 电源 插座 ， 禁 止 使 用 2kW 以 上 的 大 功率 电感 
性 电动 工具 。 确 需 使 用 这 类 工具 以 及 三 相 检 修 设 备 时 ， 应 使 用 施工 移动 式 配 电 盘 从 机 房 所 在 
楼 层 附近 的 动力 或 照明 配 电 箱 接 取 电源 。 

(2) 线路 歼 设 

供电 距离 尽量 短 ， 主 要 是 从 供电 安全 考虑 ， 电 子 计算 机 电源 间 应 靠近 主机 房 设备 。 主 机 
房 内 活动 地 板 下 部 的 低压 配 电线 路 应 采用 铜 芯 屏蔽 导线 或 铜 忆 屏 蔽 电费。 机房 内 的 电源 线 、 
信和 号 线 和 通信 线 应 分 别 铺设 ， 排 列 整齐 ， 捆 扎 固定 ， 长 度 留 有 余 量 。UPS 电源 配 电 箱 ( 柜 ) 
引出 的 配 电线 路 ， 穿 薄皮 钢管 或 阻 燃 PVC 管 ， 党 机 房 活 动 地板 下 敷设 至 各 排 机 柜 和 配 线 架 
的 背面 ， 经 带 穿线 孔 的 活动 地 板 引 上 ， 穿 管 保护 进入 金属 导轨 式 插座 线 槽 、 机 柜 或 配 线 架 。 
控制 台 或 设备 桌 后 的 匣 线 ， 用 金属 导轨 式 插座 线 柳 并 用 螺栓 国定， 安装 在 设备 桌 背 面 距 活 动 
地 板 0.1~0.3m 处。 

信和 号 线 缆 在 活动 地 板 下 从 机 柜 、 配 线 架 引 至 各 设备 ， 应 采用 金属 线 槽 沿 设备 周围 或 主机 
房 从 设备 背面 的 活动 地 板 穿线 孔 引 入 (注意 不 得 与 电源 线路 共用 活动 地 板 穿线 孔 ， 且 间距 
大 于 0. 1m) ， 信 和 号 线 缆 避 免 沿 机 房 墙 边 甫 设 以 防 与 强 电 线 管 交 叉 。 活 动 地 板 下 部 的 电源 线 应 
尽 可 能 远离 计算 机 信和 号 线 ， 并 避免 并 排 歼 设 。 当 不 能 避免 时 ， 应 采取 相应 的 屏蔽 措施 。 旧 上 
设备 之 间 的 信号 连 线 是 短线 的 〈 长 度 小 于 3m) ， 应 沿 设备 背部 桌面 明 静 ， 但 不 得 悬 吊 在 设 
备 桌 背 侧 空中 ; 是 长 线 的 〈 长 度 大 于 3m) ， 应 从 活动 地 板 穿线 孔 翻 下 (上) 穿 薄 皮 钢 管 在 
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活动 地 板 下 敷设 。 机 房 照明 负载 和 普通 空调 负载 ， 由 电源 管理 间 分 别 引 出 动力 和 照明 回路 供 
电 。 照 明和 空调 负载 线路 均 沿 吊顶 内 或 墙 面 敷设 。 

(3) 可 靠 接 地 

总 配 电 柜 、UPS 电源 柜 、 动 力 配 电 箱 、 照 明 配 电 箱 的 金属 框架 及 基础 型 钢 必 和 需 接 地 
(PE) 或 接 零 (PEN) 。 门 和 框架 的 接地 端子 间 用 裸 编 铜 线 连接 。 柜 、 箱 内 配 线 整齐 。 照 明 
配 电 箱 内 的 漏电 保护 器 的 动作 电流 不 大 于 30mA ， 动 作 时 间 不 大 于 0. 1s。 接 地 (PE) 或 接 零 
(PEN) 支线 必须 单独 与 接地 (PE) 或 接 零 (PEN) 干线 相连 ， 不 得 串联 连接 。UPS 电源 柜 
输出 端的 中 性 线 (N 极 ) ， 必 须 与 由 接地 装置 直接 引 来 的 接地 干线 连接 ， 做 重复 接地 ， 接 地 
电阻 小 于 40Q。 当 灯具 距 地 面 高度 小 于 2.4m 时 ,灯具 的 可 接近 裸露 导体 必须 接地 (PE) 或 
接 零 (PEN) ， 并 应 有 专用 接地 螺栓 和 标识 。 外 电源 进 线 至 机 房 电源 管理 间 时 ， 应 将 电 纺 的 
金属 外 皮 与 接地 装置 连接 ; 从 楼 外 引入 的 铠 装 信 号 电缆 和 屏蔽 信号 线 进 入 弱电 机 房 前 也 应 注 
意 采 取 防 雷击 措施 ， 避 人 免 沿 建筑 外 墙 或 防 雷 引线 引 雷 入 室 。 同 轴 电 缆 的 屏蔽 层 必 须 与 机 党 一 
起 接地 。 

上 述 线 缆 进 入 机 房 后 ， 应 设 金属 接线 箱 〈 盒 ) ， 并 将 线 缆 金 属 〈 屏 蔽 ) 外 皮 连 接 避 雷 需 
或 浪 涌 电压 抑制 器 〈SPD) ， 然 后 与 机 房 等 电位 接地 母 排 ， 用 截面 积 不 小 于 16mm 的 铜 芯 绝 
缘 线 连通 。 这 样 可 以 有 效 地 抑制 线 缆 接 收 到 的 电磁 干扰 信号 ， 从 而 保证 信号 传输 的 质量 。 从 
机 房 引出 的 信号 线路 应 采用 金属 线 槽 沿 墙 并 在 吊顶 内 敷设 ， 避 免 与 其 他 电气 管 路 平行 紧 贴 。 
尽量 避 开 空调 、 消 防 、 暧 气 和 给 排水 等 管道 ， 与 它们 的 间距 按 相关 规范 执行 。 金 属 电 统 桥 架 
及 其 支架 和 引入 或 引出 的 金属 电缆 导管 必须 接地 (PE) 或 接 零 (PEN) ， 且 必须 符合 下 列 规 
定 : 

1) 金属 电缆 桥架 及 其 支架 应 不 少 于 两 处 与 接地 (PE) 或 接 零 (PEN) 干线 相连 接 。 

2) 电缆 桥架 间 连 接 板 的 两 端 跨 接 铜 芯 接 地 线 ， 接 地 线 最 小 允许 截面 积 不 小 于 6mm 。 

3) 接地 (PE) 或 接 零 (PEN) 线 在 插座 间 不 串联 连接 。 

工程 实施 中 按 上 述 做 法 可 以 较 好 地 保证 机 房 供电 的 可 靠 和 安全 ， 各 种 不 同 电压 和 频率 的 
信和 号 线 缆 敷 设 安 全 、 相 互 隔 离 度 好 、 整 齐 、 美 观 并 方便 维护 管理 。 

(4) 消防 系统 的 要 求 

消防 系统 的 设备 动力 电费、 控制 电缆 、 电 线 ， 按 规范 要 求 选用 耐火 型 电缆 、 电 线 。 其 他 弱 
电 系统 所 用 电费、 电线 均 采 用 阻 燃 型 。 在 设备 选择 及 线路 敷设 时 ， 应 充分 考虑 电磁 兼容 问题 。 

一 般 要 求 主要 开关 设备 应 该 被 设计 成 适合 增 容 、 维 护 和 元 余 ， 并 提供 双 倍 的 或 隔离 的 多 
余 配 置 。 设 计时 应 该 考虑 到 开关 装置 、 总 线 或 断路 器 维护 的 方便 性 。 瞬 时 电压 浪 涌 抑制 
(TVSS) 应 该 被 安装 在 电力 分 配 系统 的 每 一 级 上 ， 并 且 采 用 适当 的 规格 ， 以 便 能 够 抑制 可 能 
发 生 的 瞬时 能 量 。 
6.4.2 不 间断 电源 

1. 不 间断 电源 的 作用 

机 房 常 用 的 供电 电源 是 不 间断 电源 ( Uninterruptible Power System ，UPS ) 。UPS 是 一 种 含 
有 储 能 装置 ， 以 逆 变 器 为 主要 组 成 部 分 的 恒 压 恒 频 的 不 间断 电源 。 主 要 用 于 给 单 台 计算 机 、 
计算 机 网 络 系统 或 其 他 电力 电子 设备 提供 不 间断 的 电力 供应 。 当 市 电 输 入 正常 时 ，UPS 将 市 
电 稳 压 后 供应 给 负载 使 用 ， 此 时 的 UPS 就 是 一 台 交 流 市 电 稳 压 器 ， 同 时 它 还 向 机 内 电池 充 
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电 ; 当 市 电 中 断 〈 事 故 停电 ) 时 ，UPS 立即 将 机 内 电池 的 电能 ， 通 过 逆 变 转换 的 方法 向 负 
载 继续 供应 220V 交流 电 ， 使 负载 维持 正常 工作 并 保护 负载 软 、 硬 件 不 受 损 坏 。UPS 设备 通 
常 对 电压 过 大 和 电压 过 低 都 提供 保护 。 

由 于 采用 了 脉 宽 调频 技术 、 高 效 功 率 右 件 的 成 熟 、 微 处 理 絮 的 发 展 等 因素 ，UPS 已 经 成 
为 计算 机 房 供 电 的 主要 设备 。UPS 最 大 的 特点 在 于 不 间断 性 ， 而 且 能 最 大 限度 地 提供 稳定 电 
压 ,， 隔离 外 电网 的 干扰 。 外 电网 一 旦 停电 ，UPS 能 在 设备 所 允许 的 极 短 时 间 内 ( 微 秒 至 毫 
秒 级 ) 自动 将 备用 能 源 经 逆 变 胡 变 换 成 电压 、 频 率 和 相位 都 与 原 供电 电 源 相同 的 电能 继续 
向 计算 机 供电 。 或 者 平时 由 首 变 带 供 电 ， 只 在 逆 变 器 发 生 故 障 时 ， 才 由 静态 电子 开关 自动 将 
计算 机 瞬时 切换 到 外 电网 供电 或 切换 到 男 一 台 与 之 并 联 的 UPS 上 ， 实 现 不 间断 供电 。UPS 
提供 的 电源 具有 较 高 的 电压 和 频率 稳定 性 ， 波 形 失真 也 较 小 ， 干 扰 更 优 于 外 电网 ， 是 计算 机 
系统 最 理想 的 供电 设备 。 几 乎 所 有 的 重要 计算 机 设备 都 采用 UPS 供电 。 

2. UPS 的 组 成 

UPS 系统 由 五 部 分 组 成 : 主 路 、 劳 路 、 电 池 等 电源 输入 电路 ， 进 行 ACZDC 变换 的 整流 
器 (REC) ， 进 行 DCAAC 变换 的 逆 变 大 〈INV) ， 逆 变 和 旁 路 输出 切换 电路 以 及 蕾 能 电池 。 
其 系统 的 稳 压 功能 通常 是 由 整流 顺 完 成 的 ， 整 流 需 采用 品 闸 管 或 高 频 开 关 整 流 堪 ， 本 号 具有 
可 根据 外 电 的 变化 控制 输出 幅度 的 功能 ， 从 而 当 外 电 发 生变 化 时 〈 该 变化 应 满足 系统 要 
求 ) ， 输 出 幅度 基本 不 变 。 净 化 功能 由 储 能 电池 来 完成 ， 由 于 整流 需 不 能 消除 瞬时 脉冲 干 
扰 ， 整 流 后 的 电压 仍 存在 干扰 脉冲 。 储 能 电池 除 具 有 可 存储 直流 电能 的 功能 外 ， 对 整流 需 来 
说 就 像 接 了 一 只 大 容量 电容 器 ， 其 等 效 电 容量 的 大 小 ， 与 储 能 电池 容量 大 小 成 正比 。 由 于 电 
容 需 两 端的 电压 是 不 能 突变 的 ， 即 利用 了 电容 融 对 脉冲 的 平滑 特性 消除 了 脉冲 干扰 ， 起 到 了 
净化 功能 ， 也 称 对 干扰 的 屏蔽 。 频 率 的 稳定 则 由 变换 噩 来 完成 ， 频 率 稳定 度 取 决 于 变换 需 的 
振荡 频率 的 稳定 程度 。 为 方便 UPS 系统 的 日 常 操作 与 维护 ,设计 了 系统 工作 开关 、 不 间断 
电源 故障 后 的 自动 穷 路 开关 、 检 修 旁 路 开关 等 控制 开关 。 

UPS 供电 示意 图 如 图 64 所 示 ， 在 电网 电压 工作 正常 时 ， 给 负载 供电 如 图 所 示 ， 而 且 ， 
同时 给 储 能 电池 充电 ; 当 突 发 停电 时 ，UPS 电源 开始 工作 ， 由 储 能 电池 供给 负载 所 需 电 源 ， 
维持 正常 的 生产 (如 粗 黑 一 所 示 ); 当 由 于 生产 需要 ， 负 载 严重 过 载 时 ， 由 电网 电压 经 整流 
直接 给 负载 供电 〈 如 虚线 所 示 ) 。 
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图 6-4 UPS 供电 示意 图 


UPS 系统 主要 核心 组 件 分 为 两 大 块 : UPS 主机 和 储 能 电池 (蓄电池 ) 。 额 定 输出 功率 的 
大 小 取决 于 主机 部 分 ， 并 与 负载 驱动 性 质 有 关 ， 因 为 UPS 对 不 同性 能 的 负载 驱动 能 力 不 同 ， 
通常 负载 功率 应 满足 UPS 70% 的 额定 功率 的 要 求 。 储 能 电池 容量 的 选取 ， 当 负载 功率 确定 
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后 主要 取决 于 其 后 备 时 间 的 长 得， 这 个 时 间 因 各 企业 情况 不 同 而 不 同 ， 主 要 由 备用 电源 的 接 
入 时 间 来 定 ， 通 常 在 几 分 钟 或 几 个 小 时 不 等 。 

3. UPS 的 工作 过 程 

当 市 电 正常 为 AC 380V 时 ,直流 主 回路 有 直流 电压 ， 供 给 DC-AC 交流 逆 变 器 ， 输 出 稳 
定 的 220V 或 380V 交流 电压 ， 同 时 市 电 经 整流 后 对 电池 充电 。 当 任何 时 候 市 电 从 电压 或 突 
然 掉 电 ， 则 由 电池 组 通过 隔离 二 极 管 开关 向 直流 回路 馈送 电能 。 从 电网 供电 到 电池 供电 没有 
切换 时 间 。 当 电池 能 量 即将 耗 尽 时 ，UPS 发 出 声 光 报警 ， 并 在 电池 放电 下 限 点 停止 逆 变 器 工 
作 ， 长 哆 告 警 。UPS 还 有 过 载 保护 功能 ， 当 发 生 超 载 (150% 负载 ) 时 ， 跳 到 劳 路 状态 ， 并 
在 负载 正常 时 自动 返回 。 当 发 生 严 重 超载 (超过 200% 额定 负载 ) 时 ，UPS 立即 停止 逆 变 屁 
输出 并 跳 到 劳 路 状态 ， 此 时 前 面 输入 断路 右 也 可 能 跳闸 。 消 除 故障 后 ， 只 要 合 上 开关 ， 重 新 
开机 即 开始 恢复 工作 。 其 工作 原理 图 如 图 6-5 所 示 。 
































市 电 


AC/DC 整 流 电路 





图 6-5 UPS 工作 原理 图 


4. UPS 的 种 类 

UPS 按 工作 原理 分 成 后 备 式 、 在 线 式 与 在 线 互 动 式 三 大 类 。 

(1) 后 备 式 UPS 

这 是 最 常用 的 一 种 UPS。 如 四 通 HO 系列 与 SD 系列 ， 它 具备 了 自动 稳 压 、 断 电 保护 等 
UPS 最 基础 也 是 最 重要 的 功能 ， 虽 然 一 般 有 10ms 左右 的 转换 时 间 ， 逆 变 输出 的 交流 电 是 方 
波 而 非 正 弦 波 ,但 由 于 结构 简单 而 具有 价格 便宜 、 可 靠 性 高 等 优点 ， 因 此 广泛 应 用 于 微机 、 
外 设 、POS 机 等 领域 。 


(2) 在 线 式 UPS 

结构 较 复 杂 ， 但 性 能 完善 ， 能 解决 所 有 电源 问题 ， 如 四 通 PS 系列 ， 其 显著 特点 是 能 够 
持续 零 中 断 地 输出 纯净 正弦 波 交 流 电 ， 能 够 解决 尖峰 、 浪 涌 、 频 率 漂移 等 全 部 的 电源 问题 。 
但 由 于 需要 较 大 的 投资 ， 通 常 应 用 在 关键 设备 与 网 络 中 心 等 对 电力 要 求 奇 刻 的 环境 中 。 

(3) 在 线 互 动 式 UPS 
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同 后 备 式 相 比较 ,在 线 互 动 式 具有 滤波 功能 ， 抗 市 电 干 扰 能 力 很 强 ,， 转 换 时 间 小 于 
4ms， 首 变 输出 为 模拟 正弦 波 ， 所 以 能 配备 服务 器 、 路 由 器 等 网 络 设备 ,或 者 用 在 电力 环境 
较 恶 劣 的 地 区 。 

5.UPS 的 选 购 要 点 

(1) 稳定 性 

因为 UPS 是 起 保障 作用 的 ， 因 此 它 自身 的 稳定 性 更 为 重 中 之 重 。 当 用 户 选 购 UPS 产品 
的 时 候 ， 不管 是 中 小 型 企业 用 户 还 是 其 他 用 户 ， 首 先 必须 考虑 UPS 产品 的 质量 ， 产 品 的 质 
量 是 用 户 选 用 产品 的 第 一 要 则 ， 我 们 要 选择 市 场 知名 度 较 高 的 品牌 ， 如 艾默生 、 山 特 、 
APC、 梅 兰 日 兰 等 知名 厂家 的 产品 。 

(2) 后 备 时 间 

后 备 时 间 是 很 多 用 户 在 购买 UPS 产品 的 时 候 会 比较 关注 的 一 个 指标 。 从 学 术 角 度 讲 ， 
UPS 就 是 停电 后 继续 为 用 户 供电 ， 一 般 后 备 时 间 会 从 30min 到 4h 其 至 更 长 时 间 不 等 ， 取 决 
于 业务 需求 。 另 一 功能 则 是 保证 用 户 能 够 有 一 个 干净 的 电源 ， 保 护 用 户 的 设备 。 

(3) 确定 UPS 的 类 型 

根据 负载 对 输出 稳定 度 、 切 换 时 间 、 输 出 波形 的 要 求 来 确定 是 选择 在 线 式 、 在 线 互动 
式 、 后 备 式 还 是 正弦 波 、 方 波 等 类 型 的 UPS。 在 线 式 UPS 的 输出 稳定 度 、 瞬 间 响 应 能 力 比 
另外 两 种 强 ， 对 非 线性 负载 的 适应 能 力也 较 强 。 对 一 些 较 精 密 的 设备 、 较 重要 的 设备 要 采用 
在 线 式 UPS。 在 一 些 市 电波 动 范 围 比较 大 的 地 区 ， 应 避免 使 用 互动 式 和 后 备 式 UPS。 如 果 要 
使 用 发 电机 配 短 延 时 UPS， 推 荐 用 在 线 式 UPS 。 

(4) 售后 服务 能 

每 个 用 户 的 网 络 特点 、 电 力 环境 都 不 相同 ， 电 源 保 护 要 求 也 随 之 变化 。 用 户 在 使 用 UPS 
时 可 能 遇 到 种 种 问题 ， 用 户 和 希望 自己 购置 的 是 完全 适合 实际 需求 的 产品 和 服务 ， 而 且 关 心 设 
备 投资 的 周期 、 长 期 回报 率 及 投资 风险 。 而 现实 是 ， 绝 大 多 数 产品 售后 缺乏 这 方面 的 专业 人 
员 ， 所 以 ,优质 的 服务 体系 和 主动 的 服务 态度 也 成 为 用 户 选 购 UPS 时 必须 考虑 的 一 个 重要 
因素 。 

(5) 附件 功能 

为 了 提高 系统 的 可 靠 性 ， 建 议 采 用 UPS 热 备 份 系统 ， 系 统 可 以 串联 热 备 份 或 并 联 热 备 
份 。 小 容量 的 UPS (1 ~2kVA) 还 可 以 选用 元 余 开关 。 可 以 选用 远程 监控 面板 ， 实 现在 远 端 
监视 和 控制 UPS 工作 。 可 以 选用 监控 软件 ， 实 现 计算 机 与 UPS 之 间 的 智能 化 管理 。 可 以 选 
用 网 络 适 配器 ， 实 现 UPS 的 网 络 化 管理 (基于 SNMP)。 在 某 些 多 雨 多 雷 地 区 ,可 以 配 用 防 
雷 器 。 还 要 考虑 是 否 能 够 对 网 络 的 使 用 和 对 外 设 进行 保护 。 


6.4.3 机房 照明 系统 


机 房 照明 设计 包括 平面 设计 和 系统 设计 。 首 先 要 认真 进行 机 房 照 明 的 需求 分 析 ， 如 机 房 
照明 设计 要 求 光 线 要 和 柔和， 适合 人 体 的 生理 需要 ， 不 能 因 照 明 电 源 产 生 干 扰 而 影响 计算 机 的 
工作 。 主 机 房 内 在 离 地 面 0. 8m 处 ， 照 度 不 应 低 于 300Lx; 辅助 机 房 内 照度 不 应 低 于 150Lx; 
应 急 照 明 应 大 于 30Lx; 紧急 出 口 标 志 灯 、 芷 散 指示 和 灯 照 度 应 大 于 5Lx。 

我 国 机 房 照明 设计 标准 主要 指标 为 照度 。 照 度 是 光 通 量 投射 到 物体 表面 时 ， 即 可 把 物体 
表面 照 亮 ;就 是 光 通 量 的 表面 密度 ， 即 射 到 物体 表面 的 光 通 量 由 与 该 物体 表面 的 面积 $ 的 
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比值 ， 即 =$/S (其 中 照度 的 单位 为 勒 克 斯 Ix) 。 主 机 房 和 辅助 区 一 般 照 明 的 照度 标准 值 
宜 符合 表 6-1 的 规定 。 
































表 6-1 主机 房 和 辅助 区 一 般 照 明 照 度 标 准 值 
房间 名 称 照度 标准 值 统一 眩光 值 UGR 一 般 显 色 指数 Ra 
服务 器 设备 区 500 22 
主机 房 网 络 设备 区 500 22 
存储 设备 区 500 22 
进 线 间 300 25 
80 
监控 中 心 500 19 
辅助 区 测试 区 500 19 
打印 室 500 19 
备件 库 300 22 

















在 主机 房 内 基本 工作 间 无 眩光 ， 有 眩光 限制 等 级 为 1 级 ; 第 一 类 辅助 房间 脱光 限制 等 级 为 
D 级 ， 可 以 有 轻微 眩光 ; 第 二 、 第 三 类 辅助 房间 眩光 限制 等 级 为 三 级 ， 人 允许 有 了 眩光 感觉 。 在 
选择 及 布置 灯具 时 ， 除 根据 机 房 电 气 设计 规范 对 照度 的 要 求 外 ， 还 应 充分 结合 自然 采光 及 墙 
面 反射 率 等 因素 来 计算 确定 灯具 数量 。 一 般 机 房 照明 功率 密度 (W/m ) 的 现行 值 可 按 
18W/m 计算 。 各 功能 房间 采用 艇 入 式 格 栅 荧光 灯具 。 在 灯 的 布置 上 ， 根据 安装 高 度 ( 即 吊 
顶 高 度 ) 决定 灯具 间隔 。 在 保证 照度 的 前 提 下 ， 充 分 考虑 照度 均匀 性 和 有 效 抑制 眩光 等 因 
素 。 成 排 安 装 的 灯具 ， 光 带 应 平 直 、 整 齐 。 工 作 区 内 一 般 照 明 的 均匀 度 (最 低 照度 与 平均 
照度 之 比 ) 不 宜 小 于 0.7， 非 工作 区 的 照度 不 宜 低 于 工作 区 平均 照度 的 1/3。 

除了 各 机 房 按 要 求 布 置 灯具 外 ， 同 时 要 考虑 应 急 照 明 要 求 ， 应 设置 通道 琉 散 照 明 及 琉 散 
指示 标志 灯 ， 主 机 房 通道 跑 散 照明 的 照度 值 不 应 低 于 5Lx， 其 他 区 域 通道 玻 散 照明 的 照度 值 
不 应 低 于 0.5Lx。 在 市 电 停电 后 ， 为 保证 工作 人 员 做 存盘 等 紧急 处 理 ， 机 房 内 应 布置 一 定数 
量 的 应 急 照明 灯具 。 采 用 高 效应 急 照明 灯 ， 当 市 电 停 电 后 自动 投入 。 应 急 照明 由 UPS 供电 ， 
灯具 布置 均匀 无 死角 。 保 证 应 急 处 理 后 ， 人 员 能 安全 快速 地 沿 通道 向 出 口 或 应 急 出 口 玻 散 。 
照明 支 路 管线 参照 配 电 箱 系统 图 布线 ， 应 急 照 明 采 用 大 楼 EPS 供电 。 在 照明 箱 供 电线 路 设 
计 中 ， 除 了 一 般 性 的 供电 线路 外 ， 应 考虑 有 173 左右 的 UPS 供电 ， 以 保证 在 应 急 状 态 下 的 
人 员 踢 散 照 明 。 

主机 房 和 辅助 区 应 设置 备用 照明 ， 备 用 照明 的 照度 值 不 应 低 于 一 般 照明 照度 值 的 10% ; 
有 人 值守 的 房间 ， 备 用 照明 的 照度 值 不 应 低 于 一 般 照 明 照 度 值 的 50% 。 备 用 照明 可 为 一 般 
照明 的 一 部 分 。 电 子 信 息 系 统 机 房 内 的 照明 线路 宜 穿 钢管 暗 歼 或 在 吊顶 内 穿 钢 管 明 歼 。 技 术 
夹层 内 宜 设置 照明 ， 并 应 采用 单独 支 路 或 专用 配 电 箱 ( 柜 ) 供电 。 

灯具 的 控制 要 求 分 区 、 分 路 、 集 中 控制 ， 尤 其 是 大 面积 照明 场所 的 灯具 ， 要 分 区 、 分 段 
设置 开关 。 一 般 照明 采用 电子 镇 流 器 ， 当 采用 电感 镇 流 器 时 ， 应 加 电容 补偿 器 。 


6.4.4 防 雷 接地 系统 


电子 信息 系统 机 房 的 防 雷 和 接地 设计 ， 应 满足 人 里 安全 及 电子 信息 系统 正常 运行 的 要 
求 ， 并 应 符合 现行 国家 标准 《建筑 物 防 雷 设计 规范 》GB 50057 一 2010 和 《建筑 物 电 子 信息 
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系统 防 雷 技术 规范 》GB 50343 一 2012 的 有 关 规 定 。 保 护 性 接地 和 功能 性 接地 宜 共 用 一 组 接 
地 装置 ， 其 接地 电阻 应 按 其 中 的 最 小 值 确定 。 对 功能 性 接地 有 特殊 要 求 需 单独 设置 接地 线 的 
电子 信息 设备 ， 接 地 线 应 与 其 他 接地 线 绝缘 ; 供电 线路 与 接地 线 宜 同 路 径 敷设 。 

电子 信息 系统 机 房 内 的 电子 信息 设备 应 进行 等 电位 连接 ， 等 电位 连接 方式 应 根据 电子 信 





息 设备 易 受 干 扰 的 频率 及 电子 信息 系统 机 房 的 等 级 和 规模 确定 ， 可 采用 S 型 、M 型 或 SM 混 
合 型 











采用 M 型 或 SM 混合 型 等 电位 连接 方式 时 ， 主 机 房 应 设置 等 电位 连接 网 格 ， 网 格 四 周 应 
设置 等 电位 连接 市 ， 并 应 通过 等 电位 连接 导体 将 等 电位 连接 带 就 近 与 接地 汇流 排 、 各 类 金属 
管道 、 金 属 线 槽 、 建 筑 物 金属 结构 等 进行 连接 。 每 台电 子 信息 设备 〈 机 柜 ) 应 采用 两 根 不 
同 长 度 的 等 电位 连接 导体 就 近 与 等 电位 连接 网 格 连接 。 等 电位 连接 网 格 应 采用 截面 积 不 小 于 
25mm 的 铜 带 或 裸 铜 线 ， 并 应 在 防 静电 活动 地 板 下 构成 边 长 为 0.6 ~3m 的 矩形 网 格 。 等 电位 
连接 带 、 接 地 线 和 等 电位 连接 导体 的 材料 和 最 小 截面 积 ， 应 符合 表 6-2 的 要 求 。 

表 6-2 等 电位 连接 带 、 接 地 线 和 等 电位 连接 导体 的 材料 和 最 小 截面 积 
















































































名 称 材 料 最 小 截面 积 /mm 
等 电位 连接 带 铜 50 
利用 建筑 内 的 钢筋 做 接地 线 铁 50 
单独 设置 的 接地 线 铀 25 
等 电位 连接 导体 (从 等 电位 连接 带 至 接地 汇流 排 或 至 其 他 等 电位 连接 带 ;各 抽 
接地 汇流 排 之 间 ) 
等 电位 连接 导体 (从 机 房 内 各 金属 装置 至 等 电位 连接 带 或 接地 汇流 排 ;从 机 钢 















































柜 至 等 电位 连接 网 格 ) 


6.4.5 静电 防护 


因为 网 络 核心 机 房 有 大 量 的 电子 设备 ， 因 此 静电 防护 是 一 个 必须 高 度 重视 的 问题 ， 主 要 
是 通过 数 设 专业 的 防 静 电 地 板 来 解决 。 主 机 房 和 辅助 区 的 地 板 或 地 面 应 有 静电 泄 放 措施 和 接 
地 构造 ， 防 静电 地 板 、 地 面 的 表面 电阻 或 体积 电阻 值 应 为 (2.5 x104 ~1.0x109)Q, 且 应 
具有 防火 、 环 保 、 耐 污 耐 磨 性 能 。 主 机 房 和 辅助 区 中 不 使 用 防 静 电 活动 地 板 的 房间 ， 可 铺设 
防 静 电 地 面 ， 其 静电 耗 散 性 能 应 长 期 稳定 ， 且 不 应 起 侍 。 主 机 房 和 辅助 区 内 的 工作 台面 宜 采 
用 导 静 电 或 静电 耗 散 材料 ， 其 静电 性 能 指标 应 符合 “静电 地 板 、 地 面 的 表面 电阻 或 体积 
阻 值 为 (2.5 x104 ~1.0 x109)Q” 的 规定 。 

电子 信息 系统 机 房 内 所 有 设备 的 金属 外 序 、 各 类 金属 管道 、 金 属 线 槽 、 建 筑 物 金属 结构 
等 必须 进行 等 电位 连接 并 接地 。 

静电 接地 的 连接 线 应 有 足够 的 机 械 强 度 和 化 学 稳定 性 ， 宜 采用 焊接 或 压 接 。 当 采用 导电 
胶 与 接地 导体 粘 接 时 ， 其 接触 面积 不 宜 小 于 20cm 。 


6.5 ”机房 空 调 及 新 风 系 统 























6.5.1 机 房 空 调 系统 
网 络 核心 机 房 必 须要 安装 机 房 专用 空调 ， 主 机 房 和 辅助 区 中 的 空调 系统 应 根据 电子 信息 
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系统 机 房 的 等 级 选择 安装 。 安 装机 房 专用 空调 ， 目 的 是 提供 一 个 恒温 恒 湿 的 机 房 环 境 ， 以 便 
网 络 设备 散热 ， 保 障 正常 运行 。 电 子 信息 系统 机 房 的 空调 设计 ， 应 符合 现行 国家 标准 《 电 
子 信息 系统 机 房 设计 规范 》GB 50174 一 2008、《 采 上 暖 通风 与 空气 调节 设计 规范 》GB 50019 一 
2003 和 《建筑 设计 防火 规范 》GB 50016 一 2006 的 有 关 规 定 。 

对 于 大 型 园区 网 络 ， 根 据 信 息 系 统 和 服务 器 、 存 储 等 网 络 设备 的 多 少 、 以 及 以 后 网 络 设 
备 的 扩容 量 等 ， 一 般 建 有 从 几 十 平米 到 几 百 平米 面积 不 等 的 专用 网 络 核心 机 房 。 网 络 核心 机 
房 一 般 要 求 配备 恒温 恒 湿 空调 机 组 、 新 风 系 统 。 关 于 配置 空调 功率 大 小 ， 有 一 个 专门 的 负载 
计算 方法 。 

电子 信息 设备 和 其 他 设备 的 散热 量 应 按 产品 的 技术 数据 进行 计算 。 机 房 空 调 系统 夏季 的 
冷 负 载 应 包括 下 列 内 容 : 

1) 机 房 内 设备 的 散热 ; 

2) 建筑 围 护 结构 的 传 热 ; 

3) 通过 外 窗 进入 的 太阳 辐射 热 ; 

4) 人 体 散 热 ; 

5) 照明 装置 散热 ; 

6) 新 风 负 载 ; 

7) 伴随 各 种 散热 过 程 产生 的 潜 热 。 

空调 系统 湿 负 载 应 包括 下 列 内 容 : 

1) 人 体 散 湿 ; 

2) 新 风 负 载 。 

主机 房 空 调 系统 的 气流 组 织 形 式 ， 应 根据 电子 信息 设备 本 身 的 冷却 方式 、 设 备 布 置 方 
式 、 布 置 密度 、 设 备 散 热量 以 及 室内 风速 、 防 侍 、 噪 声 等 要 求 ， 结 合 建筑 条 件 综合 确定 。 当 
电子 信息 设备 对 气流 组 织 形 式 未 提出 要 求 时 ， 主 机 房 气流 组 织 、 风 口 及 送 回 风 温 差 按 表 6-3 
选用 。 

















表 6-3 主机 房 气流 组 织 、 风 口 及 送 回 风 温差 





















































气流 组 织 下 送 上 回 上 送 上 回 (或 侧 回 ) 侧 送 侧 回 
1) 散 流 融 
1) 带 可 调 多 叶 阀 的 格 栅 风口 2) 带 扩散 板 风口 1) 百叶 风口 
送 风口 2) 条 形 风口 ( 带 有 条 形 风口 的 活动 地 板 ) 3) 孔 板 
2) 格 顶风 口 
3) 孔 板 4) 百叶 风口 
5) 格 栅 风口 
回 风口 1) 格 栅 风 口 2) 百叶 风口 3) 网 板 风口 4) 其 他 风口 
送 风 温 差 4 ~6C , 送 风 温度 应 高 于 室内 空气 露点 温度 4~6°C 6~8°C 














对 机 柜 高 度 大 于 1. 8m， 设备 热 密 度 大 、 设 备 发 热量 大 或 热 负载 大 的 主机 房 ， 宜 采用 活 
动 地 板 下 送 风 、 上 回 风 方式 。 大 型 园区 网 络 核心 机 房 通常 采用 和 2U 标准 机 柜 ， 设备 密度 较 
大 , 一 般 都 是 采用 活动 地 板 下 送 风 、 上 回 风 的 方式 ， 如 图 6-6、 图 6-7 所 示 。 采 用 活动 地 板 
下 送 风 时 ， 活 动 地 板 下 的 空间 应 考虑 线 槽 及 消防 管线 等 所 占用 的 空间 。 








187 














图 66 下 送 风 、 上 回 风 示意 图 








图 67 下 送 风 、 上 回 风 效果 图 


6. 5.2 精密 空调 的 选择 


空调 设计 应 根据 当地 气候 条 件 ， 选 择 采 用 下 列 节 能 措施 : 

1) 大 型 机 房 空 调 系统 宜 采 用 冷水 机 组 空调 系统 。 

2) 北方 地 区 采用 水 冷 冷 水 机 组 的 机 房 ， 冬季 可 利用 室外 冷却 塔 作 为 冷 源 ， 并 应 通过 热 
交换 需 对 空调 冷冻 水 进行 降温 。 

3) 空调 系统 可 采用 电 制 冷 与 自然 冷却 相 结合 的 方式 。 

在 对 空调 设备 进行 选择 的 时 候 ， 空 调和 制冷 设备 的 选用 应 符合 运行 可 靠 、 经 济 适用 、 节 
能 和 环保 的 要 求 。 空 调 系统 和 设备 应 根据 电子 信息 系统 机 房 的 等 级 、 机 房 的 建筑 条 件 、 设 备 
的 发 热量 等 进行 选择 。 空 调 系统 无 备份 设备 时 ， 单 台 空 调制 冷 设 备 的 制冷 能 力 应 留 有 15% 
~20% 的 余 量 。 选 用 机 房 专 用 空调 机 时 ， 空 调 机 宜 带 有 通信 接口 ， 通 信 协 议 应 满足 机 房 监 控 
系统 的 要 求 ， 显 示 屏 宜 为 汉字 显示 。 空 调 设备 的 空气 过 滤器 和 加 湿 顺 应 便于 清洗 和 更 换 ， 设 
备 安装 应 留 有 相应 的 维修 空间 。 

对 于 大 型 园区 网 络 的 核心 机 房 ， 一 般 选 择 精 密 空 调 设备 作为 机 房 专用 设备 。 

机 房 精密 空调 是 针对 现代 电子 设备 机 房 设 计 的 专用 空调 ， 它 的 工作 精度 和 可 笔 性 都 要 比 
普通 空调 高 得 多 。 大 家 都 知道 ， 计 算 机 机 房 中 摆 放 计算 机 设备 及 程控 交换 机 产品 等 ， 由 大 量 
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密集 电子 元 件 组 成 。 要 提高 这 些 设 备 使 用 的 稳定 性 及 可 靠 性 ， 需 将 环境 的 温度 、 湿 度 严格 控 
制 在 特定 范围 。 机 房 精密 空调 可 将 机 房 温度 及 相对 湿度 控制 于 正 负 1 摄氏 度 ， 从 而 大 大 提高 
了 设备 的 稳定 性 及 可 靠 性 。 

在 许多 重要 的 工作 中 信息 处 理 是 不 可 或 缺 的 一 个 环节 ， 因 此 ， 网 络 核心 机 房 的 正常 运转 
离 不 开 和 恒温 恒 湿 的 机 房 环 境 。IT 硬件 产生 不 寻常 的 集中 热 负载 ， 同 时 对 温度 或 湿度 的 变化 
又 非常 敏感 。 温 度 或 湿度 的 波动 可 能 会 产生 一 些 问 题 ， 例 如 ， 处 理 时 出 现 乱 码 ， 严重 时 甚至 
系统 彻底 停机 。 这 会 给 企业 带 来 巨大 的 损失 ， 具 体 数 额 取 决 于 系统 中 断 时 间 以 及 所 损失 数据 
和 时 间 的 价值 。 标 准 舒 适 型 空调 的 设计 并 非 为 了 人 处理 数 据 机 房 的 热 负 载 集中 和 热 负载 组 成 ， 
也 不 是 为 了 向 这 些 应 用 提供 所 需 的 精确 的 温度 和 湿度 设 定 点 。 精 密 空调 系统 的 设计 是 为 了 进 
行 精确 的 温度 和 湿度 控制 。 精 密 空调 系统 具有 高 可 靠 性 ， 保 证 系统 终年 连续 运行 ， 并 量具 有 
可 维修 性 、 组 装 灵活 性 和 宛 余 性 ， 可 以 保证 数据 机 房 四 季 空 调 正 常 运行 。 

机 房 精密 空调 机 组 主要 选择 的 品牌 有 艾默生 、 卡 洛斯 等 。 例 如 ， 艾 默 生 公司 提供 了 一 系 
列 适用 于 大 小 机 房 的 机 房 精密 空调 系统 产品 ， 对 于 大 型 机 房 专用 空调 ， 主 要 有 
Liebert. PEX2 、Liebert. CRV 高 效 制冷 系统 、Liebert. PEX 大 型 机 房 专用 空调 系统 、SDC 智能 
节能 双 循 环 空调 、 机 房 专用 冷冻 水 机 组 等 产品 。 如 图 6-8 展示 了 艾默生 精密 空调 的 核心 组 
件 。 












































EC 风机 数码 涡 旋 压缩 机 下 送 风 下 沉 式 EC 风机 
图 6-8 艾默生 精密 空调 核心 组 件 


6. 5.3 精密 空调 机 容量 的 计算 方法 
为 了 确定 机 房 精 密 空 调 机 的 容量 ， 以 满足 机 房 温 度 、 湿 度 、 洁 净 度 和 送 风 速度 的 要 求 





(简称 四 度 要 求 )， 必 须 首先 计算 机 房 的 热 负载 。 机 房 的 热 负载 主要 来 自 两 个 方面 : 

1. 机 房 内 部 产生 的 热量 

它 包括 : 室内 计算 机 及 外 部 设备 的 发 热量 ,机房 辅助 设施 和 机 房 设备 的 发 热量 (电热 、 
藻 气 水 温 及 其 他 发 热 体 )。 这 些 发 热量 显 热 大 、 潜 热 小 ， 包 括 照 明 发 热 ( 显 热 ); 工作 人 员 
的 发 热 ( 显 热 小 、 潜 热 大 ) ; 由 于 水 分 蒸发 、 凝 结 产生 的 热量 ( 潜 热 ) 。 

2. 机 房 外 部 产生 的 热量 

它 包括 : 传导 热 (通过 建筑 物 本 体 侵入 的 热量 ， 如 从 墙壁 、 屋 项 、 隔 断 和 地 面 传 入 机 
房 的 热量 ( 显 热 ) ) ， 放 射 热 〈 也 称 辐射 热 ) 〈 由 于 太阳 照射 从 玻璃 窗 直 接 进入 房间 的 热量 
( 显 热 ) ) ， 对 流产 生 的 热量 ， 从 门窗 等 颖 除 侵入 的 高 温室 外 空气 〈 也 包含 水 燕 气 ) 所 产生 的 
热量 ( 显 热 、 潜 热 )， 为 了 使 室内 工作 人 员 减 少 疲劳 和 有 利于 人 体 健康 而 引入 的 新 鲜 空气 所 
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产生 的 热量 (包括 显 热 和 潜 热 ) 。 

总 之 ， 人 体 放 出 的 热量 、 缝 除 风 侵入 的 热量 和 换 气 带 进 的 热量 ， 不 仅 使 室温 升 高 ， 也 会 
增加 室内 的 含 湿 量 ， 因 此 需要 除湿 。 这 部 分 热 负 载 称 为 潜 热 负 载 ， 而 机 房 内 所 有 设备 散发 的 
热量 只 是 室内 的 温度 升 高 ， 这 种 热 负 载 称 为 显 热 负载 。 与 一 般 宾 馆 、 办 公 室 、 会 议 室 等 潜 热 
占有 相当 大 比例 所 不 同 的 是 ， 计 算 机 、 程 控 机 机 房 内 的 热 负 载 是 以 显 热 负载 为 主 。 因 此 对 于 
热 负载 状况 不 同 的 场合 应 选用 不 同类 型 的 空调 机 。 通 常用 显 热 比 (SFH) 作为 空调 机 的 重要 
指标 。 

机 房 热 负载 的 概略 计算 (也 称 为 估算 ) 方法 

在 机 房 初 始 设 计 阶 段 ， 为 了 较 快 地 选 定 空调 机 的 上 容量， 可 采用 此 方法 ， 即 以 单位 面积 所 
需 冷 量 进行 估算 。 

计算 机 房 〈 包 括 程控 交换 机 房 ) : 

楼 层 较 高 时 ，250 ~300kcal/ (m” :bh) 

楼 层 较 低 时 ，150 ~250kcal/(m”. h) (根据 设备 的 密度 做 适当 的 增 减 ) ; 

办 公 室 (值班 室 ) : 90kcal/(m :bh)。 

计算 机 房 空 调 负 载 ， 主 要 来 自 计算 机 设备 、 外 部 设备 及 机 房 设 备 的 发 热量 ， 大 约 占 总 热 
量 的 80% 以 上 ， 其 次 是 照明 热 、 传 导热 、 辐 射 热 等 ， 这 几 项 计算 方法 与 一 般 空调 房间 负载 
的 计算 相同 。 计 算 机 制造 商 一 般 能 提供 设备 发 热量 的 具体 数值 。 否 则 根据 计算 机 的 耗 电量 计 
算 其 发 热量 。 

(1) 外 部 设备 发 热量 的 计算 

0 =860NE€ ; (kcal/h) 

式 中 , NN 是 用 电量 (kW); 外; 是 同时 使 用 系数 (0.2 ~0.5); 860 是 功 的 热 当 量 ， 即 
1kW 电能 全 部 转化 为 热能 所 产生 的 热量 。 

(2) 主机 发 热量 计算 




















OQ=860xPxhl xb2 xh3 

式 中 , P 是 总 功率 (kW); hl 是 同时 使 用 系数 ; h2 是 利用 系数 ; h3 是 负载 工作 均匀 系数 。 

机 房 内 各 种 设备 的 总 功率 ， 应 以 机 房 内 设备 的 最 大 功 耗 为 准 ， 但 这 些 功 耗 并 未 全 部 转换 
成 热量 ， 因 此 ， 必 须 用 以 上 三 种 系数 来 修正 ， 这 些 系数 又 与 计算 机 的 系统 结构 、 功 能 、 用 
途 、 工 作 状 态 及 所 用 电子 元 件 有 关 。 总 系数 一 般 取 0.6 ~0. 8 为 好 。 

(3) 照明 设备 热 负 载 计算 

机 房 照 明 设备 的 耗 电量 ， 一 部 分 变 成 光 ， 一 部 分 变 成 热 。 变 成 光 的 部 分 最 终 也 因 被 建筑 
物 和 设备 等 所 吸收 而 变 成 热 。 照 明 设备 的 热 负载 计算 如 下 : 

OQ=CxP 

式 中 , P 是 照明 设备 的 标 称 额定 输出 功率 (W);C 是 每 输出 1W 的 热量 (kcal/h* W)， 通 
常 自 炽 灯 为 0.86kcalMh . W， 严 光 灯 为 1.0kcal/h，W。 

(4) 人 体 发 热量 

人 体内 的 热 是 通过 皮肤 和 呼吸 器 官 放 出 来 的 ， 这 种 热 因 含 有 水 蒸气 ， 其 热 负 载 应 是 显 热 
和 洪 热 负载 之 和 。 

人 体 发 出 的 热 随 工作 状态 而 异 。 机 房 中 工作 人 员 可 按 轻 体力 工作 处 理 。 当 室温 为 24%C 
时 ， 其 显 热 负载 为 56cal， 潜 热 负 载 为 46cal; 当 室 温 为 21C 时， 其 显 热 负 载 为 65cal， 潜 热 
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负载 为 37cal 。 在 两 种 情况 下 ， 其 总 热 负载 均 为 102cal。 

(5) 围 护 结构 的 传导 热 

通过 机 房屋 项 、 墙 壁 、 隔 断 等 围 护 结构 进入 机 房 的 传导 热 是 一 个 与 季节 、 时 间 、 地 理 位 
置 和 太阳 的 照射 角度 等 有 关 的 量 。 因 此 ， 要 准确 地 求 出 这 样 的 量 是 很 复杂 的 问题 。 

当 室 内 外 空气 温度 保持 一 定 的 稳定 状态 时 ， 由 平面 形状 墙壁 传人 机 房 的 热量 可 按 下 式 计 
算 : 








QO=KF(t -1,) 

式 中 ，K 是 围 护 结构 的 导热 系数 (kcal/m hs ) ;是 围 护 结构 面 积 (m ) ; 4 是 机 房 内 温度 
(C); 4 是 机 房 外 的 计算 温度 (%C ) 。 

当 计算 不 与 室外 空气 直接 接触 的 围 护 结构 如 隔断 等 时 ， 室 内 外 计算 温度 差 应 乘 以 修正 系 
数 ， 其 值 通常 取 0.4 ~0.7。 常 用 材料 导热 系数 (kcal/m*h%C ) 如 下 所 示 : 

普通 混凝土 : 1.4 ~1.5; 石膏 板 : 0.2; 

轻型 混凝土 : 0.5 ~0.7; 石棉 水 泥 板 : 1; 

砂浆 : 1.3; 软 质 纤维 板 : 0. 15; 

熟 石膏 : 0.5; 玻璃 纤维 : 0. 03; 

砖 : 1.1; 镀 锌 钢板 : 38; 

玻璃 : 0.7; 铝板 : 180; 

木材 : 0. 1 ~0. 25。 

(6) 从 玻璃 透 入 的 太阳 辐射 热 

当 玻 璃 受 阳 光照 射 时 ， 一 部 分 被 反射 ， 一 部 分 被 玻璃 吸收 ， 剩 下 的 透 过 玻璃 射 人 机 房 转 
化 为 热 。 被 玻璃 吸收 的 热 使 玻璃 温度 升 高 ， 其 中 一 部 分 通过 对 流 进 入 机 房 也 成 为 热 负载 。 

透 过 玻璃 进入 室内 的 热量 可 按 下 式 计 算 : 

0 = KrFg 

式 中 , K 是 太阳 辐射 热 的 透 人 系数 ; 是 玻璃 窗 的 面积 (m ) ; g 是 透 过 玻璃 窗 进 入 的 太阳 
辐射 热 强度 (kcal/m h)。 

透 和 人 系数 K 取决 于 窗户 的 种 类 ， 通常 取 0.36 ~0.4。 

太阳 辐射 热 强度 9 随 纬 度 、 季 节 和 时 间 而 不 同 ， 又 随 太 阳 照 射 角 度 而 变化 。 具 体 数值 请 
参考 当地 气象 资料 。 

(7) 换 气 及 室外 侵入 的 热 负 载 

为 了 给 在 计算 机 房 内 的 工作 人 员 不 断 补充 新 鲜 空气 ， 以 及 用 换 气 来 维持 机 房 的 正 压 ， 需 
要 通过 空调 设备 的 新 风口 向 机 房 送 入 室外 的 新 鲜 空气 ,这 些 新 人 鲜 空气 也 将 成 为 热 负 载 。 通过 
门 、 窗 缝 际 和 开关 而 侵入 的 室外 空气 量 ， 随 机 房 的 密封 程度 、 人 的 出 入 次 数 和 室外 的 风速 而 
改变 。 这 种 热 负 载 通常 都 很 小 ， 如 需要 ， 可 将 其 折算 为 房间 的 换 气 量 来 确定 热 负 载 。 

(8) 其 他 热 负 载 

在 机 房 中 ， 除 上 述 热 负 载 外 ,在 工作 中 使 用 示波器 、 电 烙铁 、 吸 侍 器 等 都 将 成 为 热 负 
载 。 由 于 这 些 设备 的 功 耗 一 般 都 较 小 ， 可 粗略 按 其 额定 输入 功率 与 功 的 热 当 量 之 积 来 计算 。 
此 外 ， 机 房 内 使 用 大 量 的 传输 电缆 ， 也 是 发 热 体 。 其 计算 如 下 : 

0 =860P/ 

式 中 ，860 是 功 的 热 当 量 (kcal/h); P 是 每 米 电 统 的 功 耗 (W) ; /是 电缆 的 长 度 (m)。 
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总 之 ， 机 房 热 负载 应 由 上 述 (1) ~ (8) 各 项 热 负 载 之 和 来 确定 。 
6.5.4 新 风 系 统 


新 风 系统 是 由 风机 、 进 风口 、 排 风口 及 各 种 管道 和 接头 组 成 。 安 装 在 吊顶 内 的 风机 通过 
管道 与 一 系列 的 排 风口 相连 ， 风 机 起 动 ， 室 内 受 污 染 的 空气 经 排 风口 及 风机 排 往 室外 ,使 室 
内 形成 负 压 ， 室 外 新 鲜 空气 便 经 安装 在 窗 框 上方 ( 窗 框 与 墙 体 之 间 ) 的 进 风 口 进入 室内 ， 
从 而 使 室内 人 员 可 呼吸 到 高 品质 的 新 鲜 空气 。 

新 风 系 统 是 根据 在 密闭 的 室内 一 侧 用 专用 设备 向 室内 送 新 风 ， 再 从 另 一 侧 由 专用 设备 
向 室外 排出 ， 在 室内 形成 “新 风流 动 场 ”的 原理 ， 从 而 满足 室内 新 风 换 气 的 需要 。 实 施 
方案 是 : 采用 高 压 涉 、 大 流量 小 功率 直流 高 速 无 刷 电动 机 带动 离心 风机 ,依靠 机 械 强 力 
由 一 侧 向 室内 送 风 ， 由 另 一 侧 用 专门 设计 的 排 风 新 风机 向 室外 排出 的 方式 强迫 在 系统 内 
形成 新 风流 动 场 。 在 送 风 的 同时 对 进入 室内 的 空气 进行 新 风 过 滤 、 灭 毒 、 杀 菌 、 增 氧 、 
预 热 (冬天 ) 。 排 风 经 过 主机 时 与 新 风 进 行 热 回收 交换 ， 回 收 大 部 分 能 量 通过 新 风 送 回 室 
内 。 借 用 大 范围 形成 洁净 空间 的 方案 ， 保 证 进入 室内 的 空气 是 洁净 的 。 以 此 达到 室内 空 
气 净化 环境 的 目的 。 

新 风 系 统 设备 是 大 型 网 络 核 心机 房 必 须要 安装 的 设备 ， 以 保障 在 网 络 核 心机 房 专 用 空调 
空气 的 新 鲜 度 ， 保 障 操作 人 员 的 生命 安全 。 

新 风 系 统 要 考虑 风量 大 小 、 冷 量 回 风 工 涡 、 新 风 工 涡 、 热 量 回 风 工 况 等 技术 指标 ,满足 
足 量 的 新 风量 ， 安 装 在 空调 机 房 等 场合 ， 配 合 回 风 箱 可 调节 新 风 、 回 风 比 例 。 

新 风 作 为 机 房 空 调调 节 设 计 中 的 重要 组 成 部 分 ， 具 有 如 下 重要 意义 : 维持 机 房 内 的 正 
压 ， 有 利于 保持 机 房 内 恒定 的 空气 环境 ， 保 持 机 房 的 洁净 ; 稀释 室内 不 断 产生 的 空气 污染 物 
(设备 、 人 员 、 建 筑 材 料 ) ， 防 止 空气 品质 变 坏 。 

1. 计算 机 机 房 内 新 风 处 理 的 要 求 

机 房 内 对 新 风 处 理 一 般 在 品质 上 有 以 下 要 求 : 

洁净 度 : 高 于 50 万 级 的 洁净 度 (大 于 0.5pm 的 粉尘 粒子 ,不 多 于 500000 粒 /in ); 室 
外 大 气 一 般 含 尘 量 为 百 万 级 至 千 万 级 之 间 ， 因 此 ， 相 应 的 过 滤器 净化 效率 应 在 90% 以 上 ， 
新 风 的 净化 效率 至 少 在 中 效 以 上 。 

温度 : 新 风 处 理 后 引入 室内 的 温度 应 与 室内 回 风 温 度 相 仿 ， 才 不 至 于 影响 室内 温度 ， 造 
成 局 部 的 冷 热 不 均 或 导致 新 风 管 道 结 露 。 

湿度 : 新 风 是 影响 室内 湿度 的 主要 因素 ， 与 风 的 引进 直接 相关 ， 新 风 的 湿度 最 好 采用 单 
独处 理 的 方式 。 

2. 新 风 设 计 标 准 

空调 系统 的 新 风量 依据 机 房 设计 规范 应 取 以 下 两 项 中 的 最 大 值 : 

保证 工作 人 员 每 人 40m /h; 维持 室内 正 压 ， 即 主机 房 相 对 于 室外 为 9.8Pa， 其 他 房间 相 
对 于 室外 为 4.9Pa。 

但 实际 上 ， 根 据 以 上 三 种 条 件 计算 的 新 风量 往往 不 够 准确 : 由 于 室内 的 设备 多 少 、 建 筑 
结构 、 人 员 多 少 等 在 不 同 的 机 房 各 不 相同 ， 因 此 按 总 送 风量 计算 的 新 风量 不 够 准确 ; 新 风 的 
作用 除了 保持 正 压 外 ， 往 往 是 保证 室内 空气 的 品质 ; 避免 发 生 污 染 物 积聚 空气 品质 霉 变 ， 因 
此 人 员 多 少 也 不 能 有 效 反映 机 房 内 的 新 风量 。 维 持 室内 正 压 的 数值 是 在 工业 洁净 车 间 、 实 验 
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室 的 设计 规范 基础 上 修改 而 来 的 ， 由 于 机 房 的 密封 无 法 向 洁净 车 间 那 样 严 格 ， 很 难 准确 估算 
机 房 内 的 漏 风 面积 ， 因 此 对 于 维持 具体 数字 的 正 压 要 求 ， 其 风量 是 很 难 计算 的 ， 通 常 需 根据 
经 验 估算 。 所 以 ， 在 机 房 设 计时 计算 实际 的 新 风 需 要 量 ， 一 般 是 采用 经 验 值 的 计算 方法 : 按 
照 室内 容积 的 循环 次 数 来 计算 。 根 据 设计 师 的 经 验 及 不 同 的 机 房 环 境 ，0.6 ~1.2 次 Ah 的 新 
风量 系数 能 较 好 地 满足 机 房 的 9.8Pa 正 压 需求 。 

3. 新 风 处 理 需 要 考虑 的 因素 

1) 温 湿度 : 新 风 与 室内 可 能 在 温度 上 存在 较 大 的 差距 ， 因 此 大 量 引进 新 风 会 较 大 地 影 
啊 室 内 的 温 湿度 。 尤 其 是 湿度 ， 机 房 专 业 空调 因为 风量 大 ， 通 过 表 冷 器 的 风速 快 ， 因 此 除湿 
功能 相对 较 差 。 新 风 引 进 时 必须 考虑 室内 其 他 空调 设施 的 冷 量 见 余 是 否 足 够 ,否则 需要 采取 
对 新 风 的 温 湿 度 预 处 理 措施 。 

2) 风速 : 直接 送 风 时 ， 风 速 不 应 超过 3m/s; 室内 气流 速度 大 致 不 得 超过 lm/s (不 准 
确 ); 进 风口 风速 不 得 超过 3m/s。 

3) 噪声 : 根据 新 风 设 备 放置 位 置 、 处 理 风 量 等 确定 。 

4) 气流 组 织 : 合理 的 气流 组 织 才能 达到 机 房 内 有 效 通 风 ; 气流 组 织 的 基本 原则 是 全 面 
通风 ， 不 留 死角 。 

5) 节能 : 新 风 的 引进 会 造成 较 大 的 热 湿 负 载 ， 会 消耗 较 大 量 的 空气 处 理 能 源 ， 因 此 在 
新 风 引 进 方案 中 采取 必要 的 节能 措施 是 值得 考虑 的 。 

6) 系统 的 稳定 性 : 新 风 系 统 作 为 机 房 系统 与 室外 环境 的 一 个 窗口 ， 其 稳定 性 影响 着 机 
房 系统 的 稳定 性 ， 由 于 新 风 系 统 的 过 滤 需 等 耗材 需要 经 党 更 换 ， 因 此 必须 考虑 更 换 的 方便 
性 、 极 限 情况 、 系 统 的 耐用 性 。 


























6.6 ”机房 消 防 系统 


6.6.1 气体 灭火 消防 系统 


电子 信息 系统 机 房 应 根据 机 房 的 等 级 设置 相应 的 灭火 系统 ， 并 应 按 现行 国家 标准 《 建 
筑 设计 防火 规范 》GB 50016 一 2006、《 高 层 民用 建筑 设计 防火 规范 》GB 50045 一 1995 和 
《气体 灭火 系统 设计 规范 》 GB 50370 一 2005， 以 及 国家 标准 《电子 信息 系统 机 房 设计 规范 》 
GB 50174 一 2008 的 要 求 执行 。 

一 般 大 型 网 络 核心 机 房 都 应 设置 洁净 气体 灭火 系统 ， 不 宜 设 置 高 压 细 水 雾 灭火 系统 或 自 
动 喷 水 灭 火 系 统 。 而 且 网 络 核心 机 房 应 设置 火灾 自动 报警 系统 ， 并 且 与 消防 设施 实施 联动 。 

气体 灭火 系统 是 指 平时 灭火 剂 以 液体 、 液 化 气体 或 气体 状态 存 贮 于 压力 容器 内 ， 灭 火 时 
以 气体 (包括 蒸汽 、 和 气 雾 ) 状态 喷射 作为 灭火 介质 的 灭火 系统 。 并 能 在 防护 区 空间 内 形成 
各 方向 均一 的 气体 浓度 ， 而 且 至 少 能 保持 该 灭火 浓度 达到 规范 规定 的 浸渍 时 间 ， 实 现 扑灭 该 
防护 区 的 空间 、 立 体 火灾 。 

采用 管 网 式 洁 净 气 体 灭 火 系统 的 主机 房 ， 应 同时 设置 两 种 火灾 探测 器 ， 且 火灾 报警 系统 
应 与 灭火 系统 联动 。 灭 火 系统 控制 器 应 在 灭火 设备 动作 之 前 ， 联 动 控制 关闭 机 房 的 风门 、 风 
阅 ， 并 应 停止 空调 机 和 排 风 机 、 切 断 非 消防 电源 等 。 机 房 内 应 设置 警 第 ， 机 房 门口 上 方 应 设 
置 灭火 显示 灯 。 灭 火 系 统 的 控制 箱 ( 柜 ) 应 设置 在 机 房 外 便于 操作 的 地 方 ， 且 应 有 防止 误 
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操作 的 保护 装置 。 气 体 灭 火 系统 的 灭火 剂 及 设施 应 采用 经 消防 检测 部 门 检测 合格 的 产品 。 

目前 ,市场 上 较 多 使 用 七 气 丙 烧 (HFC 一 227ea) 灭火 系统 ， 自 动 灭 火 系 统 是 一 种 高 效 
能 的 灭火 设备 ， 其 灭火 剂 HFC 一 ea 是 一 种 无 色 、 无 味 、 低 毒性 、 绝 缘 性 好 、 无 二 次 污染 的 
气体 ， 对 大 气 臭氧 层 的 耗损 潜能 值 (ODP) 为 零 ， 是 目前 蔡 代 商 代 烷 1211、1301 最 理想 的 
替代 品 。 图 6-9 所 示 为 气体 灭火 装置 示意 图 。 
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图 69 ”气体 灭火 装置 示意 图 
6.6.2 消防 报警 及 联动 控制 系统 


消防 报警 及 联动 控制 系统 又 称 火 灾 报 警 系 统 、 消 防 目 动 报警 系统 ， 由 火灾 报警 主机 、 火 
灾 特 征 或 火灾 早期 特征 传 感 咒 、 人 工 火 灾 报 警 设备 、 输 出 控制 设备 组 成 。 传 感 融 完成 对 火灾 
特征 或 火灾 早期 特征 的 探测 ， 并 将 相关 信号 传送 到 火灾 报警 主机 。 报 警 主 机 完成 对 信和 号 的 显 
示 、 记 录 ， 并 完成 相应 的 输出 控制 。 火 灾 自 动 报警 及 联动 控制 系统 ， 如 图 6-10 所 示 。 

火灾 探测 需 通 过 对 火灾 发 出 的 燃烧 气体 、 烟 雾 粒子 、 温 升 和 火焰 的 探测 ， 将 探测 到 的 火 
情 信 号 转化 为 火警 电信 和 号。 在 现场 的 人 员 阁 发 现 火 情 ， 也 应 立即 直接 按 动手 动 报警 按钮 ， 发 
出 火警 电信 号 。 火 灾 报 警 控 制 絮 接收 到 火警 电信 和 号， 经 确认 后 ， 一 方面 发 出 预警 、 火 警 声 光 
报警 信和 号， 同时 显示 并 记录 火警 地 址 和 时 间 ， 告 诉 消防 控制 室 ( 中心) 的 值班 人 员 ; 为 一 
方面 将 火警 电信 号 传送 至 各 楼 层 (防火 分 区 ) 所 设置 的 火灾 显示 盘 ， 火 灾 显 示 盘 经 信号 处 
理 ， 发 出 预警 和 火警 声 光 报警 信号 ， 并 显示 火警 发 生 的 地 址 ， 通 知 楼 层 〈 防 火 分 工程 区 ) 
值班 人 员 立 即 察看 火 情 并 采取 相应 的 扑灭 措施 。 在 消防 控制 室 〈 中 心 ) 还 可 能 通过 火灾 报 
和 警 控 制 右 的 通信 接口 ， 将 火警 信号 在 微机 彩 显 系统 显示 屏 上 更 直观 地 显示 出 来 。 
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图 6-10 ”火灾 自动 报警 及 联动 控制 系统 

联动 控制 部 则 从 火灾 报警 控制 套 读 取 火 警 数据 ， 经 预 抑 编程 设置 好 的 控制 逻辑 (“或 ”、 
“与 ”“ 片 ”" “总 报 ” 等 控制 逻辑 ) 处 理 后 。 向 相应 的 控制 点 发 出 联动 控制 信号 ， 并 发 出 
提示 声 光 信号 ， 经 过 执行 器 去 控制 相应 的 外 控 消 防 设备 ， 如 : 排 烟 阀 、 排 烟 风机 等 防 烟 排 烟 
设备 ;防火 闪 、 防 火 卷帘门 等 防火 设备 ; 警 铃 、 和 警笛 和 声 光 报警 需 等 警报 设备 ; 关闭 空调 、 
电梯 迫降 和 打开 人 员 牙 散 指示 灯 等 ; 局 动 消防 和 、 喷 淋 双 等 消防 灭火 设备 等 。 外 控 消 防 设备 
的 局 停 状 态 应 反馈 给 联动 控制 器 主机 并 以 光 信 号 形式 显示 出 来 ， 使 消防 控制 室 〈 中 心 ) 值 
班 人 员 了 解 外 探 设备 的 实际 运行 情况 ， 消 防 内 部 电话 、 消 防 内 部 广播 起 到 通信 联络 和 对 人 员 
玻 散 、 防 火 灭 火 的 调度 指挥 作用 。 


6.7 ”机房 弱 电 系统 


6.7.1 网 络 核心 机 房 综 合 布线 系统 


1. 网 络 核心 机 房 综合 布线 系统 的 特点 

网 络 核心 机 房 主 要 承载 两 方面 的 功能 : 一 是 提供 整个 网 络 核心 设备 的 运行 环境 并 且 与 园 
区 类 所 有 楼 宇 弱 电 间 互 连 ; 二 是 网 络 核心 机 房 一 般 还 藉 载 数据 中 心 的 功能 ， 它 需要 为 所 有 服 
务 需 、 存 储 设备 提供 标准 的 机 房 运行 环 境 。 因 此 ， 网 络 核心 机 房 的 综合 布线 系统 不 同 于 传统 
意义 的 综合 布线 系统 ， 具 有 自身 的 特点 如 下 : 

1) 单位 面积 信息 点 数量 大 。 网 络 核 心机 房 机 柜 密 集 ， 设 备 数 量 多 ,信息 点 密度 高 。 

2) 扩展 性 强 。 网 络 核 心机 房 机 柜 多 ， 需 要 预 留 大 量 信 息 点 ， 可 扩展 性 要 求 高 。 

3) 以 数据 传输 为 主 。 网 络 核心 机 房 服务 器 及 存储 系统 ， 主 要 以 数据 传输 业务 为 主 。 

4) 光纤 信息 点 数量 多 。 认 涉 多 种 设备 接口 、 光 纤 跳 线 密度 高 。 

5) 以 水 平子 系统 模式 为 主 。 机 房 面 积 固定 ， 主 要 以 水 平子 系统 为 主 。 

6) 线路 敷设 方式 特殊 ， 能 适应 机 房 的 应 用 特点 和 设备 特点 。 一 般 要 考虑 机 房 机 柜 布 
局 ,采用 上 走 线 架 桥 方式 比较 常见 。 
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7) 能 综合 规划 一 些 设备 间 的 非常 规 布线 。 非 常规 布线 主要 是 大 量 设 备 及 机 柜 之 间 不 可 
预测 的 一 些 级 联 。 

2. 配 线 区 域 的 规划 

一 个 大 型 网 络 核心 机 房 的 综合 布线 系统 是 比较 复杂 的 ， 主 要 考虑 的 细节 是 机 房 机 柜 区 域 
的 划分 ， 要 充分 考虑 机 房 的 特点 、 功 能 布局 ， 进 行 仔细 的 规划 设计 。 一 般 机 房 机 柜 内 的 布线 
信息 点 比较 密集 ， 既 有 光纤 也 有 双 绞 线 ， 并 且 对 配 线 架 、 理 线 架 的 标示 显得 非常 重要 。 

网 络 核 心机 房 一 般 分 为 接 入 区 (包括 园区 其 他 功能 楼 宇 的 光缆 接 入 、 电 信和 网 络 接 入 
等 )、 核 心 交换 机 区 〈 包 括 校园 网 核心 交换 机 、 路 由 器 、 防 火 墙 等 ) 、 服 务 咒 区 (包括 应 用 
服务 器 、Web 服务 器 、DNS 服务 器 、 邮 件 服务 器、 视频 服务 右 等 )、 存 储 区 等 区 域 。 在 考虑 
网 络 核心 机 房 布线 时 ， 应 按照 不 同 的 区 域 进行 布线 并 按照 不 同 的 功能 区 域 进 行 线 线 的 编号 。 
这 样 即 便于 管理 与 维护 ， 也 能 保证 核心 机 房 的 整洁 与 美观 。 

网 络 核 心机 房 布 线 包括 核心 机 房 内 布线 和 核心 机 房 外 的 主 进 线 间 (电信 间 ) 的 布线 。 对 
于 核心 机 房 内 的 布线 ， 还 要 划分 为 网 络 核心 主 配 线 区 、 各 排列 机 柜 列 头 配 线 区 和 机 柜 布 线 区 。 

(1) 主 配 线 区 

主 配 线 区 主要 是 网 络 核心 设备 的 所 在 地 ， 核 心 设备 主要 是 指 区 域 网 络 核心 交换 机 、 路 由 
器 、 防 火 墙 等 。 这 些 核 心 设备 既 要 与 互联 网 等 电信 级 运营 商 连 接 ， 也 要 与 园区 内 各 楼 宇 的 汇 
聚 设备 互 连 ， 还 要 与 机 房 内 各 排列 机 柜 列 头 柜 配 线 区 互 连 。 

(2) 各 排列 机 柜 列 头 配 线 区 

采用 列 头 柜 结 构 ， 本 列 机 柜 所 有 铜 线 / 光 线 都 汇聚 到 列 头 柜 的 交换 机 中 ， 通 过 有 源 交 换 设 
备 把 所 有 钢 “ 光 的 数据 传输 转换 为 多 芯 的 光缆 传输 〈 芯 数 根据 性 能 要 求 配置 ) 。 所 有 经 过 列 头 
柜 转 换 出 来 的 多 忌 光 缆 汇聚 到 主 配 线 区 的 核心 交换 机 中 ， 通 过 核心 有 源 交 换 设备 传输 数据 和 连 
接 外 部 电信 光缆。 两 层 结构 更 加 灵活 和 科学 ， 改 变 和 升级 简单 ， 电 信和 级别 的 数据 中 心 采用 的 结 
构 ， 线 缆 数 量 较 少 ， 适 合 中 大 型 的 网 络 中 心 或 数据 中 心 。 列 头 柜 布 线 机 构 如 图 6-11 所 示 。 
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(3) 机 柜 布 线 区 

机 柜 布 线 区 主要 是 各 机 柜 内 的 布线 ， 是 分 配给 终端 设备 安装 的 空间 ， 如 图 6-12 所 示 。 
机 柜 内 可 以 包括 计算 机 系统 和 通信 设备 ， 服 务 器 和 存储 设备 ， 刀 片 服 务 器 和 服务 器 及 外 围 设 
备 。 机 柜 布线 区 的 水 平 线 绕 端 接 在 固定 于 机 柜 或 机 架 的 连接 人 硬件 上 。 需 为 每 个 机 柜 布线 区 的 
机 柜 或 机 架 提 供 充 足 数 量 的 电源 插座 和 连接 硬件 ， 使 设备 缆 线 和 电源 线 的 长 度 减少 至 最 短 。 











图 6-12 ”机柜 布线 区 





网 络 核 心机 房 外 支持 的 布线 空间 主要 包含 进 线 间 。 进 线 间 是 网 络 核 心机 房 的 中 心 结构 化 
布线 系统 和 外 部 配 线 及 公用 网 络 之 间接 口 与 互通 交接 的 场地 ， 设 置 用 于 分 界 的 连接 人 硬件 。 进 
线 间 的 设置 主要 用 于 电信 线 缆 的 接 和 人 和 通信 设备 的 放置 ， 还 有 敷设 至 各 楼 宇 的 光缆 都 汇聚 在 
进 线 间 。 这 些 设施 在 进 线 间 内 经 过 电信 线 缆 交叉 转 接 ， 接 人 网络 核 心机 房 内 。 

3. 新 式 桥架 与 上 走 线 

卡 博 菲 是 一 家 法 国 公司 ， 目 前 是 世界 上 最 大 的 网 格式 桥架 制造 商 。 卡 博 菲 提供 创新 的 网 
格式 电缆 桥架 ， 适 用 于 动力 缆 、 数 据 级、 光缆、 控制 缆 等 各 种 线 缆 。 另 提供 各 种 支架 配件 ， 
可 满足 不 同 的 安装 方式 : 吊装 、 墙 装 、 地 板 下 安装 、 深 柱 安 装 、 环 统 机 天 安装 ， 近 年 来 在 各 
类 大 型 网 络 机 房 建设 中 比较 流行 ， 如 图 6-13 所 示 。 相 比 于 传统 桥架 ， 卡 博 菲 新 型 的 网 格式 
桥架 具有 以 下 特点 : 

1) 美观 。 由 于 电缆 可 见 ， 要 求 施工 时 电缆 顺序 摆 放 。 又 由 于 卡 博 菲 桥架 做 工 精细 ， 整 
个 系统 在 安装 完毕 后 显得 很 美观 。 

2) 电缆 的 使 用 寿命 增长 。 由 于 是 开放 式 桥架 ,热量 不 会 在 桥架 内 聚集 ， 即 桥架 内 温度 
不 会 升 高 ， 使 得 电缆 使 用 寿命 增长 。 

3) 维护 维修 工作 简单 。 由 于 经 常会 增加 或 变更 设备 ， 因 此 同时 就 会 拆除 或 增加 电线 ， 
而 使 用 卡 博 菲 桥架 可 以 最 大 限度 地 观察 到 电缆 ， 所 以 很 容易 辨别 需要 更 换 的 电费， 使 得 维护 
和 维修 工作 变 得 简单 。 

4) 降低 电缆 采购 成 本 并 降低 能 耗 。 由 于 是 开放 式 桥 架 ， 线 缆 自 然 通风 散热 ， 热 量 不 会 
聚集 ， 桥 架 内 温度 不 会 升 高 。 因 此 线 线性 能 得 到 了 优化 ， 可 以 使 用 截面 积 更 小 的 电线。 从 而 
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降低 了 电线 采购 成 本 ， 并 在 实际 运行 中 降低 了 能 

5) 桥架 规格 可 变 小 ， 节 省 空间 。 由 于 电缆 在 封闭 式 桥架 中 敷设 量 最 多 只 能 是 桥架 截面 
积 的 40% ， 造 成 桥架 型 号 俩 大 。 卡 博 菲 桥架 是 开放 式 桥 架 ， 电 缆 在 承载 力 允 许 的 情况 下 可 
以 满 布 ， 从 而 在 使 用 卡 博 菲 桥 架 时 可 以 减 小 规格 ， 节 省 空间 ， 并 有 可 能 降低 费用 。 

6) 高 耐 腐蚀 性 。 卡 博 菲 桥架 有 多 种 表面 处 理工 艺 可 供 选 择 。 其 中 热 镀 锌 的 锌 层 厚 度 是 
60 ~80khm， 且 镀层 均匀 ， 抗 腐蚀 性 强 。 对 于 一 些 特殊 的 环境 ， 卡 博 菲 还 可 提供 经 钝 化 的 
304L 和 316L 高 品质 不 锈 钢 系列 桥架 和 配件 ， 保 证 了 产品 的 耐用 性 。 

7) 灵活 性 。 卡 博 菲 产品 不 用 订 制 任何 弯 头 、 三 通 、 变 径 等 部 件 。 它 可 按照 现场 的 实际 
情况 采用 直 段 桥架 直接 加 工 做 成 各 种 形式 ， 从 而 减少 了 浪费 ， 降 低 了 成 本 。 

8) 安装 和 拆 印 简单 、 快 捷 。 卡 博 菲 公司 众多 专利 的 附件 产品 和 FAS 快速 安装 系统 ， 保 
证 了 桥架 与 墙 体 之 间 及 桥架 与 桥架 之 间 连 接 迅速 ， 拆 仓 方 便 。 可 以 大 幅度 减少 施工 时 间 ， 从 
而 降低 成 本 。 

9) 重量 经。 减轻 整个 系统 的 载 符 ， 并 降低 运输 成 本 。 且 在 施工 中 可 降低 劳动 力 成 本 。 


























图 6-13 卡 博 非 桥 架 上 走 线 方式 


4. 光纤 布线 

随 着 光纤 和 光纤 接 入 设备 价格 的 持续 下 降 ， 一 些 网 络 核心 机 房 用 光纤 蔡 代 传统 双 绞 线 铜 
缆 将 光纤 延伸 至 服务 器 、 交 换 机 、 存 储 设备 等 ， 以 面向 高 端 网 络 应 用 的 需求 。 根 据 TIA/ 
EIA568B 和 ISOZEEC11801 的 规定 ， 水 平 部 分 敷设 的 光纤 应 为 OM1 、OM2 、OM3 级 别 的 多 模 
I 

1) OM1 级 别 具 有 200/500MHz . km 带宽 的 62.5/125pm 多 模 光 纤 ， 这 种 光纤 在 水 平 
90m 距离 支持 千 兆 应 用 游 也 有 余 。 

2) OM2 级 别 是 具有 500A500MHz* km 带宽 的 50A125pm 多 模 光 纤 ， 由 于 光纤 以 太 网 的 
快速 发 展 ， 万 兆 以 太 网 的 不 断 应 用 ，OM2 级 别 的 多 模 光 缆 即 被 OM3 所 超越 ， 但 在 千 兆 以 太 
网 的 应 用 中 还 有 一 定 的 空间 ， 特 别 是 千 兆 光纤 到 卓 面 的 应 用 中 。 

3) OM3 是 拥有 1500/500MHz: km 和 2000MHz .km 两 个 频带 的 50/125pm 光纤 ， 它 的 
目标 是 在 300m 距离 上 支持 万 兆 以 太 网 应 用 。 

由 于 光缆 及 交换 机 端口 的 价格 不 断 下 降 ， 以 及 国家 对 信息 的 保密 要 求 ， 光 纤 布 线 系统 的 
应 用 将 会 是 未 来 发 展 的 趋势 。 
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6.7.2 KVM 系统 


KVM 是 键盘 〈Keyboard) 、 显 示 需 〈Video) 、 鼠 标 (Mouse) 的 缩写 。KVM 技术 的 核心 
思想 是 : 通过 适当 的 键盘 、 和 鼠标、 显示 还 的 配置 ， 实 现 系 统 和 网 络 的 集中 管理 ;提高 系统 的 
可 管理 性 ， 提 高 系统 管理 员 的 工作 效率 ; 节约 机 房 的 面积 ， 降 低 网 络 工 程 和 服务 器 系统 的 总 
体 拥有 成 本 ; 避免 使 用 多 显示 器 产生 的 辐射 ， 营 建 健康 环保 的 机 房 。 利 用 KVM 多 主机 切换 
系统 ， 系 统管 理 员 可 以 通过 一 套 键盘 、 上 鼠标、 显示器 在 多 个 不 同 操作 系统 的 主机 或 服务 需 之 
间 进 行 切换 并 实施 管理 。 

KVM 系统 可 以 用 在 网 络 核心 机 房 、 数 据 中 心 、 信 息 控 制 中 心 、 呼 叫 中 心 、 证 券 / 金 融 
交易 系统 、 工 业 控 制 环境 、 教 学 环境 、 测 试 中 心 等 所 有 多 服务 器 或 多 计算 机 工作 环境 。 
KVM 具有 即 插 即 用 的 功能 ， 操 作 起 来 方便 简单 。 可 支持 PC、SUN 和 MAC 等 各 种 品牌 计算 
机 和 服务 器 。 适 用 于 NETWARE、WIN95/98/2000/MEAXPANT、UNIX 、0S/2 等 各 种 操作 系 
统 和 应 用 软件 。 可 适 配 VGA、SVGA 和 XGA 等 各 种 分 辩 率 的 显示 器 。 有 自动 扫描 、 热 键 切 
换 和 OSD 菜单 等 强大 功能 。 

近年 来 流行 的 数字 KVM 切换 融 一 般 有 模拟 控制 台 接 口 ， 所 以 又 可 以 称 为 数 模 结 合 
品 ， 从 硬件 上 看 与 模拟 KVM 不 同 的 是 ， 它 有 一 个 以 太 网 接口 ， 通 过 此 接口 用 户 可 以 远程 访 
问 数 字 KVM 交换 机 。 从 数字 KVM 交换 机 到 用 户 终端 传输 的 是 IP 数字 信和 号， 而 服务 器 到 数 
字 KVM 交换 机 依然 是 模拟 信号 ， 这 样 对 于 数字 KVM 交换 机 来 说 ， 只 要 它 有 一 个 IP 地 址 ， 
用 户 就 可 以 通过 网 络 来 控 管 机 房 设 备 了 ， 可 以 实现 强大 的 远程 管理 功能 。IP-Based KVM 切 
换 需 代表 着 新 一 代 KVM 切换 技术 。 区 别 于 过 去 传统 KVM 切换 器 的 使 用 方法 ，IP-Based KVM 
切换 器 是 一 款 数字 设备 ， 通 过 现 有 的 网 络 来 连接 KVM 切换 器 的 远程 over-IP， 从 而 实现 远程 
控制 连接 到 KVM 装置 的 多 台 计 算 机 。 如 果 用 户 不 得 不 管理 分 布 于 不 同 地 点 的 多 个 服务 需 机 
房 ，IP-Based KVM 切换 器 提供 的 远程 访问 功能 将 帮助 你 简化 服务 器 机 房 的 管理 。 用 户 只 需 
将 IP-Based KVM 切换 融 安 装 在 各 服务 器 机 房 ， 即 可 轻松 地 管理 所 有 服务 器 。 

如 图 6-14 展示 了 某 网 络 核心 机 房 基 于 KVM 系统 的 集中 控 管 方案 。 通 过 两 台 基 于 IP 的 
数字 化 KVM 服务 器， 可 以 轻松 实现 远程 机 房 监控 管理 中 心 ， 还 可 以 供 远 程 用 户 在 外 对 机 房 
的 设备 进行 管控 。 


6.7.3 ”机 房 动 力 环境 监控 系统 


随 着 信息 时 代 的 来 临 和 迅猛 发 展 ， 计 算 机 系统 的 数量 和 规模 与 日 俱 增 ， 网 络 核 心机 房 已 
成 为 各 企 事业 单位 的 重要 组 成 部 分 ， 在 日 常生 产 和 管理 中 起 着 举足轻重 的 作用 。 机 房 环境 设 
备 〈 供 配 电 、UPS、 空 调 、 消 防 、 保 安 等 ) 是 大 型 机 房 必 不 可 少 的 重要 设备 ， 它 为 计算 机 系 
统 的 正常 运行 提供 必要 的 可 靠 的 保障 。 一 旦 这 些 设备 出 现 故 障 ， 就 会 影响 计算 机 系统 的 运 
行 ， 甚 至 影响 企 事业 单位 的 正常 运营 ， 造 成 严重 后 果 。 对 于 银行 、 证 券 、 邮 局 、 海 天、IDC 
等 单位 ， 机 房管 理 更 为 重要 ， 一 旦 计算 机 系统 出 现 故 障 ， 造 成 的 损失 是 不 可 估量 的 。 

机 房 动力 环境 监控 系统 是 综合 机 房 整体 分 布 环境 的 一 个 机 房 集中 监控 系统 ， 是 完整 的 室 
内 集中 监控 系统 。 被 监控 对 象 按 功能 分 为 动力 和 环境 两 大 类 。 

1) 动力 类 包括 : 高 压 配 电 、 低 压 配 电 、UPS、 油 机 、 电 源 、 电 池 组 、 空 调 等 。 

2) 环境 类 包括 : 门禁 、 烟 感 、 温 度 、 湿 度 等 。 
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图 6-14 某 网 络 机 房 基 于 KVM 系统 的 集中 管理 控制 方案 


被 监控 对 象 按 采集 方式 分 为 智能 设备 和 非 智 能 设备 两 大 类 。 

1) 智能 设备 本 身 具 有 数据 采集 和 处 理 能 力 ， 并 带 有 智能 接口 ， 可 以 与 上 位 机 通信 。 

2) 非 智能 设备 本 身 不 具备 数据 采集 和 处 理 能 力 ， 需 要 增加 传感器 、 变 送 器 和 采集 器 来 
完成 数据 采集 和 上 报 。 

目前 ， 业 界 一 般 集 成 了 这 两 大 类 监控 系统 ， 统 称 为 机 房 环境 综合 监控 系统 或 机 房 动 力 环 
境 监 控 系 统 。 

机 房 动 力 环境 监控 系统 主要 是 对 机 房 各 类 设备 的 运行 信息 进行 监控 数据 采集 。 在 采集 子 
系统 中 ， 被 监控 信号 的 测量 至 关 重 要 ， 被 监控 信和 号 按照 特性 可 以 分 为 模拟 量 和 开关 量 。 

1) 模拟 量 采集 技术 。 模 拟 量 是 指 随 时 间 连 续 变 化 的 量 ， 对 于 这 些 信 号 的 测量 ， 需 采用 
模 - 数 ( A-D，Analogue/Digital) 转换 设备 将 模拟 量变 成 数字 量 后 才能 适合 计算 机 采集 。 智 能 
设备 的 模拟 量 信 号 由 监控 单元 完成 采集 ， 而 非 智能 设备 的 模拟 量 信 号 需要 增加 数据 采集 器 、 
传感器 、 变 送 器 等 来 完成 采集 ， 将 非 电量 信号 转换 为 适合 采集 器 输入 特性 的 电量 信号 。 

2) 开关 量 采集 技术 。 开 关 量 是 指 不 连续 变化 的 、 具 有 确定 的 几 种 状态 的 量 ， 最 典型 的 
是 仅 有 “0” 和 “1” 两 种 状态 的 开关 量 。 非 智能 设备 的 开关 量 信号 采集 也 需要 增加 开关 量 
传感器 和 采集 器 。 

采集 的 数据 通过 有 线 或 无 线 、 短 信 等 方式 传送 到 监控 服务 器 上 ， 在 监控 服务 器 上 对 采集 
到 的 数据 进行 加 工分 析 ， 形 成 监控 显示 、 报 名 和 分 析 、 告 警 功能 。 图 6-15 展示 了 一 个 典型 
的 机 房 综 合 监控 系统 。 
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图 6-15 机房 综合 监控 系统 
6.8 网 络 核 心机 房 设计 案例 


6. 8.1 设计 案例 情况 概述 
某 高 校 计 划 设 计 建 设 一 个 校园 网 核心 机 房 ， 要 求 按 照 最 新 执行 的 国家 标准 GB 50174 一 
2008 《电子 信息 系统 机 房 设计 规范 》 中 C 级 机 房 建设 的 标准 要 求 进行 设计 。 一 期 工程 建设 
范围 包含 大 楼 一 层面 积 约 100m 的 UPS 配 电 室 、 消 防 钢瓶 间 以 及 主机 房 (200m?) 、 视 频 监 
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控 室 、 网 管 监控 室 、 服 务 中 心 、 用 户 接 待 室 区 域 ， 机 房 建设 面积 合计 约 400m 。 主 机 房 所 在 
楼 层 层 高 约 5.0m， 梁 下 净 高 4.0m， 主 机 房 内 地 面 下 隐 0. 5m， 架 空地 板 茹 设 高 度 为 正 负 
om， 项 棚 内 墙 面 、 顶 棚 面 作 刷 漆 防 侍 处 理 ， 采 用 铝 合金 微 孔 板 吊 项 ， 机 房 地 板 面 至 吊顶 面 
净空 高 度 设计 为 2. 8m。 

市 电 环境 考虑 引 自 大 楼 地 下 低压 配 电 室 ， 大 楼 低压 配 电 室 提供 来 自 不 同 电 网 的 两 路 市 电 
电源 ， 两 个 容量 为 630A 的 断路 器 ， 功 率 为 300kVA， 两 路 市 电 引 至 机 房 UPS 配 电 室 ， 互 投 
后 给 机 房 内 UPS 和 空调 等 市 电 电源 供电 。 本 工程 UPS 配 电 系统 为 便于 2 期 的 扩容 ， 采 用 模 
块 化 UPS， 一 期 共 安 装 15kVA 模块 5 个 ， 组 成 15kVA x4 (60KVA) 输出 +15kVA x1 备份 
模块 ， 可 方便 地 扩容 至 120kVA + 备份 模块 。 

现 有 若干 台 计算 机 设备 及 网 络 设备 ， 一 期 建议 安装 20 台 设 备 机 柜 ， 新 机 房 建成 后 将 它 
们 都 装 入 机 柜 ， 由 1 台新 增 120kVA 模块 化 UPS 供电 。 本 机 房 工 程 由 以 下 7 大 子 系统 组 成 ， 
主要 包括 : 

1) 机 房 装修 工程 ; 

2) 机 房 UPS 电源 及 其 供 配 电 、 照 明 及 防 雷 接地 系统 ; 

3) 机 房 空 调 通风 系统 ; 

4) 机 房 综合 布线 系统 ; 

5) 机 房 动力 环境 监控 系统 ; 

6) 气体 消防 及 火灾 自动 报警 系统 ; 

7) 机 房 KVM 集中 管理 系统 。 


6. 8.2 机房 装修 工程 


对 机 房 装修 工程 设计 采用 专业 设计 ， 提 供 防 静电 活动 地 板 数 设 和 金属 石 训 复合 板 饰 墙 
面 、 柱 面 、 铝 合金 微 孔 吊顶 顶棚 、 轻 钢 龙骨 双 层 双 面 石 襄 板 隔断 墙 、 亚 光 不 锈 钢 包 封 12mm 
防火 /钢化 玻璃 隔断 墙 和 钢 制 防火 门 安装 ， 其 他 各 类 细节 处 精装 修 。 

秉承 满足 先进 性 、 实 用 性 、 安 全 性 、 可 观赏 性 的 原则 ， 核 心 设备 及 材料 均 采 用 知名 品 
牌 。 做 到 专业 的 设计 ， 一 流 的 设备 ， 精 心 的 施工 ， 以 确保 本 机 房 质 地 高 雅 、 精 致 ， 线 条 流 
畅 ， 具 备 现代 机 房 风 貌 的 整体 品质 。 装 修 方案 见 表 6-4。 














表 64 装修 方案 
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名 称 地 面 天 花 墙 面 隔断 门 
位 置 
荷兰 “ 普 菲 尔 ” 金 12mm 钢化 玻璃 
心 # 仙台 安治 > 
服务 中 心 石材 楼 地 而 Re 环保 乳胶 漆 pe 钢化 玻璃 门 
荷兰 “ 普 菲 尔 ” 金 12mm 钢化 玻璃 
短 的 + 了 玛 交 浸 绿 | 由 下 
用 户 接待 室 | 石材 楼 地 面 ee 环保 乳胶 漆 ee 甲 级 钢 制 防火 门 
钢瓶 间 大 楼 原 地 面 荷兰 普 非 尔 金 | 环保 乳胶 洒 大 楼 混凝土 墙 甲 级 钢 制 防火 门 
属 微 孔 吊顶 板 ee 二 


机 房 外 观 如 图 6-16 所 示 。 





图 6-16 机 房 外 观 图 


6. 8.3 机房 供 配 电 、 照 明 及 防 雷 接地 系统 

1. 电气 设计 说 明 

机 房 进 线 电 源 采用 三 相 五 线 制 ;， 机 房 内 用 电 设备 供电 电源 均 为 三 相 五 线 制 及 单 相 三 线 
制 ; 机 房 用 电 设 备 设 过 载 保 护 ， 同 时 配 电 系统 各 级 之 间 有 选择 性 地 配合 ， 配 电 以 放射 式 向 用 
电 设备 供电 ; 机 房 配 电 系统 所 用 线 缆 均 为 阻 燃 聚 氯 乙烯 绝缘 导线 及 电缆 ， 敷 设 镀 锌 铁 线 模 、 
镀 锌 电线 管 及 金属 软 管 ; 机 房 内 配 电 系 统 与 消防 系统 联动 。 

2. 计算 机 设备 配 电 系统 

须 由 UPS 提供 电力 的 机 房 计算 机 设备 包括 计算 机 主机 、 服 务 器 、 存 储 设备 、 网 络 设备 、 
通信 设备 以 及 控制 终端 设备 等 ， 由 于 这 些 设备 进行 数据 的 实时 处 理 与 实时 传递 ， 关 系 重大 ， 
所 以 对 电源 的 质量 与 可 靠 性 的 要 求 最 高 。 在 设计 中 ， 对 计算 机 主机 设备 供电 选用 A 级 标准 。 

计算 机 设备 的 供 配 电 : 

本 工程 机 房 空调 、 市 电 设备 输入 功率 按照 150kVA 考虑 ，1 台 模 块 化 UPS 输入 功率 按照 
150kVA 考虑 ， 机 房 内 总 配 电容 量 为 300kVA。 

本 工程 设计 考虑 从 低压 配 电 室 引 两 路 不 同 母 线段 的 市 电 电源 ， 功 率 为 300kVA， 开 关 容 
量 为 630A。 采 用 4 根 ZRYJV -4x120+1x70 电缆 分 成 双 路 分 别 引 至 UPS 配 电 室内 AT 互 投 
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柜 内 上 口 ， 经 过 双 路 切换 后 ， 变 成 一 路 切换 电源 ， 输 出 至 AP 市 电 配 柜上 口 。AP 配 电 柜 为 
精密 空调 、 照 明 、UPS 系统 、 新 排 风 等 设备 供电 。UPS 输出 至 JAP 输出 配 电 柜 ， 分 别 为 主机 
房 、 监 控 终 端 等 电子 信息 系统 设备 供电 。 考 虑 采用 UPS 不 间断 电源 ， 为 的 是 最 大 限度 地 满 
足 机 房 计算 机 设备 对 供电 电源 质量 的 要 求 。UPS 电源 布线 采用 放射 式 配 电 方 式 配 至 各 用 电 设 
备 ， 采 用 阻 燃 聚 氮 乙 烯 绝缘 电线 (ZRBV) 沿 地 板 下 的 金属 线 槽 敷设 到 位 ( 支 路 管线 可 以 利 
用 JDG 管 敷设 )。 

3. 照明 配 电 系统 

(1) 正常 照明 配 电 系 统 

照明 配 电 系 统 由 市 电 供电 。 有 照明 配 电 电源 拟 由 机 房市 电 配 电 柜 AP 供电 。 灯 具 由 配 电 柜 
中 的 断路 器 、 房 间 区 域 安装 于 墙 面 上 的 矶 板 开 关 控 制 。 根 据 实 际 使 用 情况 及 GB 50174 一 
2008《 电 子 信息 系统 机 房 设 计 规 范 》 规 定 ， 机 房 区 照度 不 小 于 500Lx， 辅 助 区 照度 不 小 
300Lx。 本 工程 机 房 照 度 以 及 其 辅助 区 域 照度 均 严 格 按照 上 述 规范 设计 实施 ， 达 到 机 房 区 照 
度 大 于 500Lx， 辅 助 区 照度 大 于 300Lx。 

(2) 应 急 照明 配 电 系统 

在 市 电 停 电 后 ， 为 保证 工作 人 员 做 存盘 等 紧急 处 理 以 及 工作 人 员 撤 离 场地 ， 计 算 机 房 及 
消防 通道 必须 具备 应 急 照 明 系 统 。 设 计 考 虑 机 房 内 设 应 急 照 明灯 ,通道 及 出 口 设 琉 散 指 示 
灯 。 机 房 内 应 急 照明 的 照度 不 低 于 50Lx， 玻 散 指示 灯 的 照度 大 于 5Lx。 应 急 照 明 电源 取 UPS 
电源 。 

4. 防 雷 /接地 部 分 

机 房 设 有 四 种 接地 形式 ， 即 : 计算 机 专用 直流 逻辑 地 、 配 电 系 统 交流 工作 地 、 安 全 保护 
地 、 防 雷 保护 地 。 本 次 设计 考虑 直流 逻辑 地 、 交 流 工作 地 、 安 全 保护 地 、 防 雷 保 护 地 均 利 用 
大 楼 联合 接地 体 〈 接 地 电阻 小 于 19， 已 满足 机 房 要 求 ) 。 并 在 机 房 设 置 等 电位 接地 箱 。 用 
接地 母线 与 大 楼 联合 接地 体 相 连 。 机 房 地 板 支架 、 机 柜 外 这 等 不 带电 的 金属 部 分 均 应 与 此 接 
地 网 相连 。 

机 房 设 均 压 等 电位 带 ， 即 30mm x 3mm 铜 带 接地 网 ， 芽 设 在 活动 地 板 下 ， 依 据 计 算 机 设 
备 布局 ,纵横 组 成 网 格 状 ， 配 有 专用 接地 端子 ， 用 软 铜 线 以 最 短 的 长 度 与 计算 机 设备 相连 。 
计算 机 直流 地 需 用 接地 母线 引 至 等 电位 带 。 

容易 产生 静电 的 活动 地 板 采用 导线 布 成 泄漏 网 ， 并 用 干线 引 至 等 电位 箱 接 地 端子 。 活 动 
地 板 静 电汇 漏 干线 采用 ZR-BVR-50mm 导线， 静电 泄漏 支线 采用 6mm 铜 箱 ， 支 线 导 体 与 地 
板 支 腿 螺栓 紧密 连接 ， 支 线 做 成 网 格 状 ， 间隔 不 大 于 2.4m x2.4m; 金属 吊顶 板 、 金 属 龙 
骨 、 金 属 壁 板 、 不 锈 钢 玻璃 隔 墙 的 金属 框架 等 也 用 导线 连接 ， 接 入 等 电位 箱 。 并 且 每 一 连续 
金属 框架 的 静电 泄漏 支线 连接 点 不 少 于 两 处 。 

为 防止 感应 雷 、 侧 击 雷 沿 电源 线 进入 机 房 损坏 机 房 内 的 重要 设备 ， 大 楼 低压 配 电 屏 已 设 
置 第 一 级 电源 防 雷 装置 ， 本 机 房 在 市 电 电源 配 电 箱 上 口 加 设 第 二 级 防 雷 装置 ， 在 UPS 输出 
箱 上 口 加 设 第 三 级 防 雷 装置 。 选 用 德国 0BO 浪 消防 雷 器 。 

5.UPS 系统 

考虑 到 机 房 的 建设 等 级 以 及 便于 未 来 的 扩容 ,设计 采用 1 台 意 大 利 “ 先 控 ” (SICON) 
120kVA 模块 化 UPS 系统 向 主机 房 内 设备 提供 高 质量 的 电源 ， 一 期 安装 15kVA 模块 5 台 ， 组 
成 60kVA + 备份 模块 输出 的 UPS 系统 ，60kVA UPS 的 系统 后 备 电池 供电 时 间 为 120min。 未 
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来 机 房 扩 建 时 ， 可 以 通过 增加 功率 模块 的 方式 扩展 到 120kVA +2 (备份 模块 )。 

在 本 次 机 房 项 目 中 ， 我 们 设计 使 用 意大利 SICON CMS 系列 供电 解决 方案 来 保护 整个 
计算 中 心 内 的 不 同 设备 。CMS 系列 整 机 采用 模块 化 热 插 拔 技术 。 模 块 化 结构 可 以 使 得 系 
统 结构 更 加 清晰 ， 降 低 系 统 的 复杂 度 ， 提 高 系统 的 可 靠 性 ; 模块 化 热 插 拔 技术 可 以 使 得 
系统 的 配置 随 需要 任意 调整 。 例 如 ， 模 块 化 结构 减少 了 备件 的 数量 ， 避 免 购 买 大 量 备品 
备件 ， 浪 费 资金 ; 模块 化 结构 大 大 降低 了 设备 维修 时 间 ， 不 需要 UPS 厂商 专业 工程 师 就 
可 以 及 时 排除 故障 ,保障 系统 的 连续 运行 ; 一 个 功率 模块 发 生 故 障 ， 只 会 影响 15kVA 的 
功率 输出 ， 其 他 模块 仍然 可 以 正常 运行 ， 普通 UPS 将 会 影响 到 总 输出 ; 模块 化 结构 可 以 
实现 单机 了 元 余 ， 且 元 余 度 可 以 随 负载 量 的 变化 自动 调整 ， 其 可 用 性 要 高 于 两 台 普 通 UPS 
并 联 ; 模块 化 结构 在 全 设备 上 已 被 广泛 使 用 (如: 小 型 机 、 大 型 机 ) ， 这 种 结构 是 各 种 
设备 发 展 的 方向 。 

6.8.4 机 房 空 调 及 新 风 系 统 

1. 精密 空调 设计 及 负载 计算 

(1) 机 房 设计 标准 

计算 机 机 房 内 有 严格 的 温 、 湿 度 要 求 ， 机 房 内 按 国标 GBAT 2887 一 2011 《计算 机 场地 通 
用 规范 》 的 规定 配置 空调 设备 : 



































A 级 
级 别 
夏季 冬季 
22 +2%C 20 +2°C 
相对 湿度 45% ~65% 
温度 变化 率 <5%C/h 并 不 得 结 露 


同时 ， 主 机 房 区 的 噪声 声 压 级 小 于 68dB; 主机 房 内 要 维持 正 压 , 与 室外 压 差 大 于 
9. 8Pa; 送 风 速度 不 小 于 3m/s; 在 表态 条 件 下 ， 主 机 房 内 大 于 0.5pm 的 尘埃 不 大 于 18000 粒 
AL。 为 使 机 房 能 达到 上 述 要 求 ， 应 采用 精密 空调 机 组 才能 满足 要 求 。 

(2) 精确 总 热 负 载 的 计算 

本 工程 主要 的 热 负载 来 源 于 设备 的 发 热量 及 维护 结构 的 热 负载 。 因 此 ， 我 们 要 了 解 主 设 
备 的 数量 及 用 电 情 况 以 确定 精密 空调 的 容量 及 配置 。 根 据 以 往 经 验 ， 除 主要 的 设备 热 负 载 之 
外 的 其 他 负载 ， 如 机 房 照明 负载 、 建 筑 维 护 结构 负载 、 补 充 的 新 风 负 载 、 人 员 的 散热 负载 
等 ， 如 不 具备 精确 计算 的 条 件 ， 也 可 根据 机 房 的 面积 按 经 验 进行 测算 。 

根据 规范 要 求 并 结合 本 机 房 的 实际 特点 ， 在 不 同 的 机 房 区 域 ， 我 们 按 UPS 配 电 输 出 功 
率 及 空调 区 围 护 结构 散热 等 因素 ， 对 应 实际 的 机 房 空 调制 冷 区 域 进行 估算 ， 并 根据 各 区 域 使 
用 性 质 ， 做 到 不 同 程度 的 备份 。 

2. 空调 配置 方案 

现 根 据 上 述 因素 的 计算 结果 ， 推 荐 选用 意大利 “ 海 洛 斯 ”( HIROSS) 牌 机 房 专用 精密 
空调 产品 。 参 照 计算 结果 以 及 考虑 到 一 定 余 量 ， 查 看 空调 型 号 ， 做 出 以 下 配置 : 

主机 房 选用 两 台 意大利 双 模 块 “ 海 洛斯 ”55. 4kW 下 送 风 型 精密 空调 。 两 台 精 密 空调 组 
成 1+1 备份 运行 模式 。UPS 配 电 室 采用 两 台 日 本 “大 金 ”5P 柜 式 空调 系统 。 其 他 区 域 采用 
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大 楼 中 央 空 调 。 

3. 新 风 系 统 

本 工程 机 房 内 新 风 引 上 自 室外 新 风 ， 主 机 房 采 用 一 台 1500 风量 温 湿 度 预 处 理 新 风机 ， 将 
新 风 送 至 机 房 各 区 域 ， 以 维持 机 房 内 9. 8Pa 正 压 。UPS 配 电 室 采 用 一 台 400 风量 新 风机 。 

本 工程 在 主机 房 内 设置 一 台 5000 风量 事故 排 风 机 ，UPS 配 电 室 采 用 一 台 1500 风量 事故 
排 风 机 ， 以 备 在 消防 气体 释放 后 将 混合 气体 排出 室外 。 排 风量 按照 每 小 时 换 气 5 次 以 上 计 
算 。 


6. 8.5 综合 布线 系统 工程 


1. 设计 范围 

本 方案 在 机 房 内 机 柜 间 提供 水 平 布线 系统 ， 进 户 干 线 由 大 楼 提供 端 接 至 网 络 设备 。 采 用 
美国 “ 康 普 ”六 类 非 屏 蔽 布线 、 室 内 多 模 光 纤 布 线 系统 。 

2. 系统 实现 

主机 房 一 期 共 设 计 安 装 20 台 设 备 机 柜 ， 其 中 5 台 作 为 网 络 设备 、 配 线 机 柜 ， 男 15 台 作 
为 服务 器 机 柜 。 每 台 服 务 器 机 柜 内 安装 1 个 24 口 六 类 配 线 架 、 一 个 12 口 光纤 配 线 架 。 采 用 
“ 卡 博 菲 ” 线 槽 上 走 线 ， 六 类 非 屏 蔽 双 绞 线 布线 系统 。 每 个 六 类 配 线 架 各 布设 24 根 六 类 线 ， 
配 线 架 其 中 的 12 端口 为 KVM 系统 布线 提供 。 每 个 光纤 配 线 架 敷设 8 芯 光 纤 。 各 监控 室 终端 
布设 六 类 点 若干 。 网 络 机 房 至 主机 房 的 干线 由 电信 运营 商 提 供 安 装 。 
6. 8.6 消防 系统 

本 工程 采用 有 管 网 组 合 分 配 式 七 气 丙 煤气 体 消防 、 火 灾 自 动 报警 系统 。 本 工程 分 为 两 个 
消防 分 区 : 

气体 消防 分 区 1: 主机 房 ，200m 。 

气体 消防 分 区 2: UPS 配 电 室 ，80m?。 

采用 一 套 有 管 网 七 气 丙 烷 组 合 分 配 式 气体 自动 灭火 消防 系统 以 及 火灾 自动 报警 系统 。 

七 氟 丙 烷 气 体 自动 灭火 消防 系统 的 特点 如 下 : 

1) 灭火 力 强 ， 灭 火 时 间 短 ， 能 灭 A、B 、C 型 火灾 。 

2) 灭火 后 无 污染 、 腐 蚀 作用 ， 不 导电 ， 没 有 残留 物 ， 对 和 氧 层 无 破坏 。 

3) 低 浓度 灭火 ， 液 态 储存 ， 药 剂 占 地 面积 小 。 

4) 毒性 低 ， 可 以 应 用 于 有 人 值守 的 场所 。 


6. 8.7 ”机房 环境 及 设备 集中 监控 系统 


机 房 环 境 及 设备 集中 监控 系统 主要 包括 : 

1) 设备 监测 系统 安装 一 一 UPS、 配 电 柜 、 精 密 空调 、 温 湿度 监测 。 

2) 漏水 检测 系统 安装 一 一 采用 两 套 绳 式 空调 漏水 监测 系统 。 

3) 门禁 系统 安装 一 一 采用 12 套 磁卡 感应 式 门禁 系统 。 

4) 图 像 监 控 系 统一 一 安装 16 套 彩色 半球 摄像 机 。 

5) 防 和 信 侵 检测 系统 一 一 安装 5 套 微 波 / 红 外 线 双 鉴 探测 絮 。 

6) 温 湿度 监控 系统 一 一 采用 温 湿度 传 感 姻 ， 地 板 下 、 工 作 区 两 层 检测 机 房 内 温 湿 度 。 
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机 房 环 境 与 动力 设备 监控 子 系统 由 监控 主机 、 远 程 管理 计算 机 、 计 算 机 网 络 、 智 能 模 
块 、 远 程 模块 、 总 线 协议 转换 模块 、 信 和 号 处 理 模块 、 多 设备 驱动 卡 及 智能 设备 等 组 成 。 为 了 
增强 系统 的 功能 ， 用 户 可 根据 需要 选择 配置 多 媒体 声卡 、 智 能 电话 语音 卡 、 短 消息 发 送 需 等 
设备 ， 实 现 系统 的 扩展 功能 。 

机 房 KVM 集中 管理 系统 采用 美国 “AVOCENT”KVM 集中 管理 系统 ， 集 中 管理 128 台 
服务 器 设备 。 


6.9 ”网络 核心 机 房 未 来 发 展 趋势 








6.9.1 传统 数据 中 心 的 弊端 


传统 数据 中 心 的 整 端 ， 主 要 表现 在 以 下 几 个 方面 : 

1) 管理 不 断 增 长 的 能 源 成 本 。 据 国际 正常 运行 时 间 协 会 Uptime Institute 调查 ， 目 前 服 
务 絮 三 年 用 电 和 冷却 的 费用 一 般 为 服务 器 硬件 采购 成 本 的 1.5 倍 。 随 着 经 济 型 、 功 能 更 加 强 
大 的 高 性 能 计算 机 集群 需求 的 增长 ， 电 力 成 本 还 将 不 断 上 升 ， 而 且 关 系 到 预算 能 否 承 受 电 力 
和 冷却 费用 的 问题 。 

2) 电力 不 够 。 由 于 城市 的 高 速 发 展 ， 区 域 电力 系统 逐渐 无 法 满足 日 益 增长 的 扩容 需 
求 。 然 而 ， 新 的 服务 器、 存储 和 网 络 产 品 在 性 能 提高 、 价 格 降低 的 同时 ， 耗 电量 却 在 不 断 增 
大 。 因 此 ， 电 力 不 够 成 为 企业 面临 的 棘手 问题 。 

3) 冷却 能 力 不 够 。 目 前 , 许多 客户 的 数据 中 心 已 用 了 10 ~ 15 年 ,冷却 基础 设施 难以 满 
足 当 前 需求 。 传 统 冷却 方法 可 为 每 机 架 提供 2~3kW 制冷 量 ， 而 目前 每 机 架 需 要 的 制冷 量 却 
达到 了 20 ~30kW。 单 机 柜 的 功率 密度 比 数据 中 心 过 去 的 设计 指标 提高 了 许多 倍 。 

4) 空间 不 够 。 每 当 新 项 目 或 应 用 上 线 时 ,需要 配置 新 的 服务 絮 或 存储 子 系统 ， 因 此 ， 
随 着 业务 需求 的 增长 ， 设 备 占 地 面积 的 激增 ， 当 不 能 添加 服务 器 和 存储 时 ， 只 好 再 建 一 个 数 
据 中 心 ， 这 种 扩建 的 成 本 非常 高 。 

上 述 问题 的 不 断 出 现 ， 表 明 建 立 绿色 数据 中 心 是 企业 的 必然 选择 。 


6.9.2 数据 中 心 能 耗 效率 计算 


在 数据 业务 需求 的 爆炸 式 增长 及 IT 技术 的 迅速 发 展 的 共同 推动 下 ， 数 据 中 心 在 21 世纪 
进入 迅猛 发 展 时 期 ， 而 与 此 同时 数据 中 心 的 能 耗 问题 也 随 着 其 发 展 变 得 越 来 越 无 法 忽视 。 数 
据 中 心 的 能 耗 相 对 于 其 他 的 建筑 能 耗 有 其 自身 的 特殊 性 : 耗 能 设备 的 种 类 繁多 、 专 业 性 强 ， 
对 它 的 节能 研究 是 一 项 多 专业 综合 的 系统 工程 。 

由 于 现在 仍 没 有 所 谓 的 标准 数据 中 心 的 概念 ， 数 据 中 心 配置 变化 很 大 ， 这 使 得 以 往 用 来 
评价 建筑 能 耗 效率 的 单位 面积 能 耗 量 这 个 参数 失去 了 应 有 的 评判 意义 ， 因 此 需要 一 个 新 的 指 
标 来 评价 数据 中 心 的 能 耗 效率 。 

美国 GreenGrid 提出 了 PUE (Power Usage Effectiveness) 和 DCE (Datacenter Efficiency ) 
两 个 参数 作为 数据 中 心 的 能 耗 效 率 指标 ， 如 下 所 示 : 


TotalFacilityPower 



































PUE = 





-1 
ITEquipmentPower C6) 
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DCE = TotalFaciliiyPower 





= 6-2 
ITEquipmentPower C02) 


其 中 ，TotalFacilityPower 作为 数据 中 心 的 总 能 耗 而 1TEquipmentPower 则 为 前 面 所 提 到 的 
开设 备 能 耗 。PUE 作为 目前 被 广泛 接受 的 数据 中 心 能 效 指标 ， 在 实际 使 用 中 也 烘 露 出 一 些 
问题 : 

1) 某 些 数据 中 心 的 能 耗 供应 往往 不 是 专用 的 ， 这 就 为 PUE 公式 中 的 TotalFacilityPower 
的 获得 设置 了 障碍 。 

2) 最 新 的 制冷 技术 由 于 强调 所 谓 的 精确 制冷 ， 往 往 是 和 开设 备 直 接 集成 ， 这 样 制冷 能 
耗 和 1T 设备 能 耗 之 间 的 界限 变 得 不 再 清晰 ， 也 为 PUE 的 计算 带 来 了 困难 。 

为 提高 PUE 的 可 使 用 性 ，GreenGrid 也 提出 了 相应 的 修正 ， 将 PUE 分 解 : 

PUE = CLF( Cooling Load Factor) + PLF( Power Load Factor) +1 (6-3) 

其 中 ，CLF 为 总 制冷 能 耗 与 全 设备 能 耗 的 比值 ， 而 PLF 则 为 电源 供应 系统 与 开 设备 能 
耗 的 比值 。 除 了 PUE 及 DCE 之 外 ，GreenGrid 还 提出 了 DCPE 这 一 概念 性 的 能 效 指标 ， 如 下 
所 示 : 











医 UsefulWork 
es Total Facility Power 0663) 
这 个 指标 的 提出 实质 上 将 数据 中 心 黑箱 处 理 ， 只 考虑 其 输入 输出 量 ， 而 如 何 来 确定 


UsefuleWork 是 阻碍 其 由 概念 性 定义 成 为 工程 使 用 的 指标 的 障碍 。 有 学 者 认为 ， 随 着 Usefule- 
Work 量化 研究 的 不 断 开 展 ，DCPE 参数 必 将 成 为 未 来 数据 中 心 能 效 指标 的 必然 选择 。 


6.9.3 绿色 数据 中 心 


毫 无 疑问 ， 数 据 中 心 能 耗 巨 大 , 正 日 益 引 起 人 们 的 高 度 关注 。 绿 色 数 据 中 心 〈 Green 
Data Center) 的 呼声 日 渐 高 涨 。 绿 色 数 据 中 心 是 指数 据 机 房 中 的 开 系统、 机械、 照明 和 电 
气 等 能 取得 最 大 化 的 能 源 效 率 和 最 小 化 的 环境 影响 。 绿 色 数 据 中 心 是 数据 中 心 发 展 的 必然 。 
总 的 来 说 ,我 们 可 以 从 建筑 方 能 、 运 营 管理 、 能 源 效 率 等 方面 来 衡量 一 个 数据 中 心 是 否 为 
“绿色 ”。 绿 色 数 据 中 心 的 “绿色 ”具体 体现 在 整体 的 设计 规划 以 及 机 房 空调 、UPS、 服 务 
器 等 设备、 管理 软件 应 用 上 ， 要 具备 节能 环保 、 高 可 靠 性 、 可 用 性 和 合理 性 。 

Uptime Institute 白皮书 定义 了 4 个 确定 ， 数 据 中 心 相 对 “绿色 ”的 要 素 。4 个 绿色 指标 
是 开 系 统 设 计 和 建筑 、IT 硬件 资产 利用 、IT 硬件 效率 和 机 房 物理 基础 设施 。 

IT 设备 用 电量 包括 所 有 开 设备 以 及 用 于 监控 或 控制 数据 中 心 的 辅助 设备 的 负载 ， 前 者 
如 服务 器 、 存 储 和 网 络 设备 ; 后 者 如 键盘 、 视 频 、 鼠 标 开 关 、 监 视 器 、 工 作 站 或 移动 计算 
机 。 基 础 设施 用 电 总 量 包 括 全 设备 及 支持 全 设备 的 系统 负载 ， 如 : 

1) 供电 设备 ， 如 不 间断 电源 (UPS)、 开 关 柜 、 发 电机 、 配 电 箱 (PDU) 、 电 池 、I 开 设 
备 外 部 配 电 损耗 。 

2) 冷却 系统 ， 如 制冷 机 组 、 计 算 机 房 空调 〈CRAC) 、 直 接 膨 胀 空气 调节 絮 (DX)、 泵 
及 冷却 塔 等 。 

3) 计算 机 、 网 络 及 存储 。 

4) 低 负 载 条 件 下 工作 时 ， 不 间断 电源 (UPS) 设备 效率 下 降 。 

5) 其 他 杂项 器 件 的 负载 ， 如 数据 中 心照 明 。 
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第 6 章 ， 网 络 核心 机 房 建设 “中 








建设 绿色 数据 中 心 ， 必 须要 考虑 3 个 核心 要 素 : 

(1) 基础 设施 

机 房 基础 设施 方面 需要 考虑 的 问题 包括 : 

1) 如 何以 及 在 何 处 使 用 能 源 。 

2) 基础 设施 目前 可 优化 的 空间 (从 DCi 或 PUE 来 衡量 ) 。 

3) 本 数据 中 心 是 以 电量 和 性 能 为 主 ， 还 是 仪 以 性 能 为 主 。 

4) 是 投资 建立 新 的 数据 中 心 ， 还 是 投资 升级 现 有 数据 中 心 。 

5) 数据 中 心 现 场 是 否 适应 变更 。 

6) 数据 中 心 所 需要 的 可 靠 性 水 平 是 否 增 加 了 基础 设施 能 耗 ， 现 有 备份 或 备用 设备 存在 
多 少 闲 置 ， 是 否 足 够 ， 还 是 过 多 ， 能 和 否 撤销 部 分 设备 。 

7) 应 选择 哪些 支持 设备 (不 间断 电源 、 飞 轮 发 电机 、 发 电机 、 配 电 柜 、 制 冷 机 组 、 
CRAC 等 ) ,今后 的 发 展 趋势 如 何 ， 基 础 设施 能 否 满足 下 一 代 硬 件 电力 和 冷却 要 求 ， 例 如 ， 
更 多 的 开 设备 今后 采用 水 冷 。 

8) 基础 设施 是 否 存在 过 热 问 题 ， 是 否 存在 湿度 问题 。 

9) 是 否 可 以 采用 免费 制冷 。 

10) 电力 、 冷 却 或 空间 是 否 影响 当前 和 运营， 哪些 因素 影响 今后 业务 发 展 ， 未 来 能 否 在 
现 有 能 源 范围 内 增加 计算 能 力 ; 现场 基础 设施 在 以 下 方面 是 否 达到 最 佳 水 平 : 气流 与 散热 、 
配 电 分 配 、 冷 却 、 照 明 、 监 控 与 管理 。 

11) 必要 时 ， 是 否 需要 采用 水 冷 。 

(2) IT 设备 

IT 设备 方面 的 问题 如 下 ， 其 中 包括 硬件 设计 以 及 机 架 现 有 冷却 、 供 电 和 监控 方式 : 

1) 设备 是 否 采用 节能 硬件 ， 是 否 采用 节 电 功能 。 

2) 目前 是 按 现场 、 基 础 设施 还 是 机 架 选 择 供电 和 冷却 方法 。 

3) 硬件 是 否 具 备 电量 、 热 量 、 资 源 利 用 率 监 控 功 能 ， 是 否 可 以 监控 能 耗 。 

4) 用 电量 如 何 计 费 。 

5) 谁 可 以 提供 帮助 。 

(3) 利用 率 

服务 器 和 存储 利用 率 方面 的 问题 如 下 : 

1) 基础 设施 利用 率 是 否 达 到 最 佳 水 平 。 

2) 是 否 存在 不 必要 的 备份 设备 。 

3) 可 以 进行 合并 与 虚拟 化 吗 。 

4) 如 何 将 离散 或 孤岛 式 计算 转变 为 共享 模式 。 

5) 是 否 可 以 监控 资源 利用 率 ， 当 前 情况 及 未 来 趋势 如 何 。 

6) 如 何 对 基础 设施 提供 的 服务 进行 计 费 。 

7) 谁 能 提供 帮助 。 












































网 络 核心 机 房 建 设 是 集 建 筑 、 电 气 、 安 装 、 网 络 等 多 个 专业 技术 于 一 体 的 工程 。 对 于 一 
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[大 型 园区 网 络 建设 与 管理 | 














个 大 型 企 事业 单位 ， 具 有 多 种 信息 业务 系统 ， 往 往 建 有 一 个 大 型 园区 网 络 的 网 络 核 心机 房 或 
数据 中 心机 房 。 本 章 主 要 从 工程 的 角度 ， 针 对 网 络 核 心机 房 或 数据 中 心 建设 的 技术 进行 了 讨 
论 0 

1) 简要 介绍 了 网 络 核心 机 房 的 组 成 。 

2) 介绍 了 一 个 大 型 核心 机 房 的 规划 、 布 局 与 设计 理念 。 

3) 详细 分 解 了 一 个 网 络 核心 机 房 的 各 个 子 系统 ， 并 且 介 绍 了 各 个 子 系统 的 设计 或 建设 
技术 。 

4) 给 出 了 一 个 网 络 核心 机 房 建设 案例 ， 并 对 其 进行 了 分 析 。 

5) 探讨 了 绿色 数据 中 心 的 未 来 发 展 趋势 。 
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第 7 全 网 络 管 理 


随 着 计算 机 网 络 技术 的 高 速 发 展 ， 网 络 管理 的 重要 性 越 来 越 突出 。 第 一 ， 网 络 规模 逐渐 
增 大 ， 网 络 的 复杂 性 大 大 增加 ; 第 二 ， 各 种 网 络 新 技术 的 不 断 应 用 ， 各 种 网 络 新 设备 不 断 投 
入 使 用 ， 网 络 设备 从 生产 三 家 到 型 号 规格 都 不 相同 ， 而 且 网 络 设备 的 功能 有 简单 的 也 有 极其 
复杂 的 ; 第 三 ， 在 计算 机 网 络 基础 上 构造 的 应 用 系统 对 计算 机 网 络 系统 的 性 能 包括 可 靠 性 、 
安全 性 、 稳 定性 等 要 求 越 来 越 高 ， 这 些 性 能 也 必须 通过 网 络 管理 系统 解决 。 从 这 几 点 来 看 ， 
网 络 管理 已 经 成 为 网 络 系统 中 不 可 缺少 的 重要 部 分 ， 是 网 络 可 靠 、 安 全 、 高 效 运行 的 保障 和 
必 不 可 少 的 手段 。 











7.1 网 络 管理 的 基本 概念 


7.1.1 什么 是 网 络 管理 


实际 上 ， 网 络 管理 并 不 是 一 个 新 概念 。 网 络 管理 并 不 是 指 对 网 络 进行 行政 上 的 管理 。 狭 
义 上 看 ， 网 络 管理 的 直观 理解 类 似 于 物业 管理 ， 指 网 络 设备 和 线路 的 清单 、 网 络 拓扑 结构 、 
配置 和 状态 等 ; 广义 上 看 ， 网 络 管理 的 直观 理解 类 似 于 社会 管理 ， 指 基础 设施 管理 、 网 络 基 
础 设施 之 上 的 数字 化 社会 的 管理 以 及 网 络 和 用 户 行为 管理 。 

目前 ， 关 于 网 络 管理 的 定义 很 多 ， 一 般 来 说 ， 网 络 管理 主要 是 规划 、 监 督 、 设 计 和 控制 
网 络 资源 的 使 用 和 网 络 的 各 种 活动 ， 以 保 其 尽 可 能 长 时 间 的 正常 运行 ， 或 者 当 网 络 出 现 问题 
的 时 候 尽 可 能 快 地 发 现 和 修复 故障 ， 使 之 最 大 限度 地 发 挥 其 应 有 的 效益 的 过 程 。 

国际 标准 化 组 织 (ISO) 在 ISOZIEC7498-4 中 定义 并 描述 了 开放 系统 互 连 (OSI) 管理 
的 术语 和 概念 ， 提 出 了 一 个 OSI 管理 的 结构 并 描述 了 0SI 管理 应 有 的 行为 。 它 认为 ， 开 放 系 
统 互 连 管理 是 指 这 样 一 些 功 能 ， 它 们 控制 、 协 调 、 监 视 OSI 环境 下 的 一 些 资源 ， 这 些 资 源 保 
证 OSI 环境 下 的 通信 。 

从 网 络 管理 的 定义 可 以 看 出 ， 网 络 管理 包括 : 收集 网 络 中 各 种 设备 和 系统 的 工作 参数 、 
运行 状态 信息 ; 处 理 收 集 到 的 各 种 信息 ， 并 以 各 种 各 样 的 方式 呈现 给 网 络 管理 员 ; 接收 网 络 
管理 员 的 指令 或 根据 对 上 述 信息 的 处 理 结 果 向 网 络 中 的 设备 发 出 控制 指令 ， 即 实施 网 络 控制 
功能 ， 同 时 监视 指令 执行 的 结果 。 具 体 来 说 ， 网 络 管理 包含 两 大 任务 : 一 是 对 网 络 运行 状态 
的 监测 ， 二 是 对 网 络 运行 状态 进行 控制 。 监 测 是 控制 的 前 提 ， 控 制 是 监测 结果 的 处 理 方法 和 
实施 手段 。 

网 络 管理 的 目的 就 是 使 网 络 中 的 资源 得 到 更 加 有 效 的 利用 。 它 应 维护 网 络 的 正常 运行 ， 
当 网 络 出 现 故障 时 能 及 时 报告 和 处 理 ， 并 协调 、 保 持 网 络 系统 的 高 效 运行 。 图 7-1 描述 了 一 
个 网 络 管理 的 一 般 模 型 。 

该 图 描绘 的 网 络 管理 的 一 般 模 型 是 一 个 C/S 结构 。 图 中 的 管理 者 ( Manager) 是 客户 
端 ， 管理 者 驻 留 在 管理 工作 站 上 ， 代理 (Agent) 是 服务 端 ， 代 理 则 驻 留 在 被 管 设备 上 ， 通 


211 

















| ” 大 型 园区 网 络 建设 与 管理 
过 网 络 管理 协议 进行 信息 交换 。 由 管理 者 接收 网 络 管理 员 的 命令 ， 并 通过 网 络 管理 协议 向 代 


理发 送 ， 同 时 接收 来 自 代 理 进程 的 响应 或 通告 信息 ， 并 向 网 络 管理 员 显 示 或 报告 ; 代理 负责 
接收 来 自 管理 进程 的 命令 并 发 起 啊 应 事件 。 











(一 一 代理 (Agent) 
@D 一 一 管理 者 (Manager) 


图 7-1 网 络 管理 的 一 般 模型 





图 中 还 有 一 个 网 络 管理 工作 站 ,简称 管 理 站 ， 又 称 为 控制 台 ， 管理 站 运行 管理 应 用 来 监 
视 和 控制 被 管 设备 。 在 物理 上 ， 管 理 站 通常 是 具有 高 速 CPU、 大 内 存 、 大 硬盘 等 的 工作 站 ， 
管理 站 作为 管理 网 络 的 界面 ， 在 管理 环境 中 至 少 需要 一 台 网 络 管理 工作 站 。 管 理 站 一 般 都 是 
之 有 监视 右 的 工作 站 ， 可 以 显示 所 有 被 管 设备 的 状态 例如， 连接 是 否 掉 线 、 各 种 连接 上 的 
流量 状况 等 。 

管理 站 (硬件) 或 管理 程序 (软件 ) 都 可 称 为 管理 者 (Manager) 。Manager 不 是 指 人 而 
是 指 机 融 或 软件 。 网 络 管理 员 (Administrator) 指 的 是 人 。 

由 此 可 见 ， 该 模型 是 由 计算 机 网 络 、 管 理 员 及 网 络 管理 系统 等 部 分 紧密 结合 而 成 。 目 前 
从 技术 发 展 的 情况 看 ， 实 际 上 现 有 的 网 络 管理 软件 已 经 全 部 发 展 为 B/S 结构 ， 基 于 Web 的 
网 络 管理 软件 ， 管 理 思想 基本 上 一 致 。 


7.1.2 网 络 管理 系统 的 概念 


网 络 管理 系统 是 在 网 络 运行 环境 中 ， 实 现 网 络 管理 方法 和 网 络 管理 功能 的 应 用 系统 。 它 
是 由 硬件 设备 和 软件 组 成 的 。 网 络 管理 系统 的 主要 任务 是 收集 网 络 中 的 各 种 设备 或 设施 的 工 


作 参 数 、 工 作 状 态 信息 ， 显 示 给 网 络 管理 人 员 并 接 区 eg 
受 网 络 管理 人 员 对 它们 的 控制 ， 对 工作 参数 进行 修 


改 等 操作 。 




















网 络 管理 系统 逻辑 模型 如 图 7-2 所 示 。 
从 图 7-2 可 以 看 到 一 个 最 简单 的 网 络 管理 系统 


模型 。 一 个 网 络 管理 系统 从 逻辑 上 可 以 认为 是 由 管 
理 对 象 、 管 理 进 程 、 管 理 信息 库 和 网 络 管理 协议 4 
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图 7-2 网 络 管理 系统 逻辑 模型 


第 7 间 网 络 管 理 ”| 


个 部 分 组 成 的 。 

1) 管理 对 象 。 管 理 对 象 是 经 过 抽象 的 网 络 元 素 ， 对 应 于 网 络 中 具体 可 以 操作 的 数据 ， 
如 记录 设备 或 工作 状态 的 状态 变量 、 设 备 内 部 的 工作 参数 、 设 备 内 部 用 来 表示 性 能 的 统计 参 
数 等 。 

2) 管理 进程 。 又 称 管理 者 ， 是 负责 对 网 络 中 的 设备 和 设施 进行 全 面 管理 和 控制 的 软 
件 。 

3) 管理 信息 库 MIB (Management Information Base) 。 管 理 信息 库 是 一 个 信息 存储 库 ， 它 
包含 了 管理 代理 中 的 有 关 配 置 和 性 能 的 数据 ， 有 一 个 组 织 体系 和 公共 结构 ， 其 中 包含 分 属 不 
同 组 的 许多 个 数据 对 象 。 

4) 网 络 管理 协议 。 网 络 管理 协议 有 SNMP 协议 等 ，SNMP 是 由 一 系列 协议 和 规范 组 成 
的 ， 它 们 提供 了 一 种 从 网 络 上 的 设备 中 收集 网 络 管理 信息 的 方法 。 


























7.2 网 络 管理 的 目标 和 内 容 


7.2.1 网 络 管理 的 基本 目标 


网 络 管理 的 目标 就 是 满足 运营 者 及 用 户 对 网 络 的 有 效 性 、 可 靠 性 、 开 放 性 、 综 合 性 、 安 
全 性 和 经 济 性 的 要 求 。 这 些 要 求 都 是 网 络 实际 应 用 过 程 中 网 络 经 营 者 或 者 网 络 使 用 者 提出 的 
基本 要 求 。 

1) 网 络 应 该 是 有 效 的 。 就 是 说 ， 网 络 必须 要 能 够 准确 及 时 地 传递 信息 。 这 里 所 指 的 有 
效 性 与 通信 的 有 效 性 不 同 ， 通 信 的 有 效 性 是 指 传递 信息 的 效率 ， 而 网 络 的 有 效 性 是 指 网 络 服 
务 要 可 用 ， 而 且 有 质量 保证 。 

2) 网 络 应 该 是 可 笔 的 。 网 络 可 靠 性 至 关 重 要 ， 如 果 网 络 出 现 故 障 导 致 网 络 服务 中 断 ， 
那么 势必 造成 巨大 的 经 济 损失 。 网 络 可 笔 性 要 求 网 络 必须 保证 连续 稳定 的 运转 ， 不 能 时 断 时 
续 ， 并 且 对 各 种 故障 以 及 自然 灾害 有 较 强 的 抵御 能 力 和 一 定 的 自 愈 能 力 。 

3) 现代 网 络 要 有 开放 性 。 就 是 网 络 必须 兼容 各 种 厂商 生产 的 网 络 设备 和 通信 设备 。 

4) 现代 网 络 要 有 综合 性 。 就 是 网 络 业务 和 服务 不 能 单一 化 ， 要 有 电话 网 、 电 报 网 、 数 
据 网 等 分 离 的 状态 向 综合 业务 数字 网 〈ISDN) 过 渡 ， 以 后 计算 机 网 络 、 电 话 网 络 、 有 线 电 
视 等 网 络 也 走向 整合 ， 而 且 网 络 图 像 、 视 频 等 各 种 业务 都 能 在 网 络 上 运行 。 

5) 现代 网 络 要 有 很 高 的 安全 性 。 网 络 安全 的 问题 日 益 突出 ， 人 们 对 网 络 安全 的 要 求 越 
来 越 高 ， 现 代 网 络 必须 具备 很 高 的 安全 性 。 

6) 网 络 的 经 济 性 。 网 络 的 经 济 性 有 两 个 方面 : 一 是 对 网 络 经 营 者 而 言 ， 网 络 的 建设 、 
运营 和 维护 等 开 文 要 小 于 业务 收入 ， 否 则 ， 其 经 济 性 无 从 谈 起 ; 二 是 对 用 户 而 言 ， 网 络 业务 
要 有 合理 的 价格 ， 如 果 价 格 太 高 ， 用 户 承 受 不 起 ， 或 虽 能 承受 得 起 但 是 感到 付出 的 费用 超过 
了 业务 的 价值 ， 那 么 用 户 拒 绝 应 用 这 些 业务 ， 网 络 的 经 济 性 就 无 从 谈 起 。 

从 上 述 六 点 基本 要 求 来 看 ， 网 络 管理 的 目的 就 是 最 大 限度 地 增加 网 络 可 利用 的 时 间 ， 合 
理 地 组 织 、 分 配 和 利用 网 络 系统 资源 ,保证 网 络 正常 、 可 靠 和 安全 地 运行 ， 提 供 安全 、 可 
徘 、 经 济 、 有 效 和 优质 的 网 络 服 务 ， 以 满足 网 络 经 营 者 和 网 络 用 户 的 需要 。 









































213 


[大 型 园区 网 络 建设 与 管理 








7.2.2 网 络 管理 的 主要 内 容 


从 网 络 管理 的 定义 可 以 看 出 ， 网 络 管理 就 是 对 网 络 的 状态 进行 监测 ， 对 网 络 的 运行 状态 
进行 控制 。 对 网 络 状 态 的 监测 主要 是 检查 一 下 网 络 是 否 运 行 正 常 ; 对 网 络 运 行 状态 的 控制 主 
要 是 对 网 络 的 状态 进行 合理 调节 ， 保 障 网 络 服务 的 性 能 。 对 于 一 个 网 络 管理 员 来 说 ， 借 助 于 
网 络 管理 系统 ， 不 仅 要 完成 性 能 管理 、 故 障 管理 、 计 费 管理 、 配 置 管理 和 安全 管理 五 大 功 
能 ， 还 要 完成 其 他 的 一 些 日 常 管 理工 作 。 网 络 管理 员 的 日 常 工作 虽然 很 繁杂 ， 但 是 简要 总 结 
一 下 主要 有 七 项 任务 : 网 络 基础 设施 管理 、 网 络 操作 系统 管理 、 网 络 应 用 系统 管理 、 网 络 用 
户 管理 、 网 络 安全 保密 管理 、 信 息 存 储备 份 管理 和 网 络 机 房管 理 。 这 些 管 理 涉及 多 个 领域 ， 
每 个 领域 的 管理 又 有 各 自 特 定 的 任务 。 

1. 网 络 基础 设施 管理 

在 网 络 正 常 运行 的 状况 下 ， 网 络 管理 员 对 网 络 基础 设施 的 管理 主要 包括 : 确保 网 络 通信 
传输 畅通 ; 掌握 局 域 网 主干 设备 的 配置 情况 及 配置 参数 变更 情况 ， 备 份 各 个 设备 的 配置 文 
件 ; 对 运行 关键 业务 网 络 的 主干 设备 配备 相应 的 备份 设备 ， 并 配置 为 热 后 备 设备 ; 负责 网 络 
布线 配 线 架 的 管理 ， 确 保 配 线 的 合理 有 序 ; 掌握 用 户 端 设备 接 入 网 络 的 情况 ， 以 便 发 现 问 题 
可 迅速 定位 ; 采取 技术 措施 ， 对 了 网络 内 经 常 出现 用 户 需 要 变更 位 置 和 部 门 的 情况 进行 管理 ; 
掌握 与 外 部 网 络 的 连接 配置 ， 监 督 网 络 通信 状况 ， 发 现 问题 后 与 有 关机 构 及 时 联系 ; 实时 监 
控 整 个 局 域 网 的 运转 和 网 络 通信 流量 情况 ; 制订 、 发 布 网 络 基 础 设施 使 用 管理 办 法 并 监督 执 
行情 况 。 

2. 网 络 操作 系统 管理 

网 络 管理 员 在 维护 网 络 运 行 环 境 时 的 核心 任务 之 一 是 网 络 操作 系统 管理 。 在 网 络 操作 系 
统 配置 完成 并 投入 正常 运行 后 ， 为 了 确保 网 络 操作 系统 工作 正常 ， 网 络 管理 员 首先 应 该 能 够 
熟练 地 利用 系统 提供 的 各 种 管理 工具 软件 ， 实 时 监督 系统 的 运转 情况 ， 及 时 发 现 故 障 征兆 并 
进行 处 理 。 在 网 络 运行 过 程 中 ， 网 络 管理 员 应 随时 掌握 网 络 系统 配置 情况 及 配置 参数 变更 情 
况 ， 对 配置 参数 进行 备份 。 网 络 管理 员 还 应 该 做 到 随 着 系统 环境 变化 、 业 务 发 展 需要 和 用 户 
需求 ， 动 态 调整 系统 配置 参数 ， 优 化 系统 性 能 。 最 后 ， 网 络 管理 员 还 应 该 为 关键 的 网 络 操作 
系统 服务 需 建 立 热 备 份 系统 ， 做 好 防 灾 准 备 。 因 为 网 络 操作 系统 是 网 络 应 用 软件 和 网 络 用 户 
的 工作 平台 ,一旦 发 生 致 命 故 障 ， 这 个 网 络 服 务 将 陷入 瘫痪 状态 。 

3. 网 络 应 用 系统 管理 

对 于 普通 用 户 ， 计算机 网 络 的 价值 主要 是 通过 各 种 网 络 应 用 系统 的 服务 体现 的 。 网 络 管 
理 员 日 常 系 统 维 护 的 男 一 个 重要 职责 ， 就 是 确保 这 些 服 务 运 行 的 不 间断 性 和 工作 性 能 的 良好 
性 。 任 何 系 统 都 不 可 能 永远 不 出 现 故 障 ， 关 键 是 一 旦 出 现 故 障 如 何 将 故障 造成 的 损失 和 影响 
控制 在 最 小 范围 内 。 对 于 要 求 不 可 中 断 的 关键 型 网 络 应 用 系统 ， 网 络 管理 员 除 了 在 软件 手段 
上 要 掌握 、 备 份 系统 配置 参数 和 定期 备份 系统 业务 数据 外 ， 必 要 时 在 硬件 手段 上 还 需要 建立 
和 配置 系统 的 热 备 份 。 对 于 用 户 访 问 频 率 高 、 系 统 负载 大 的 网 络 应 用 系统 服务 ， 必 要 时 网 络 
管理 员 还 应 该 采取 负载 分 担 的 技术 措施 。 

4. 网 络 用 户 管理 

除了 通过 软件 维护 进行 系统 管理 外 ， 网 络 管理 员 还 需要 直接 为 网 络 用 户 服务 。 用 户 服务 
与 管理 在 网 络 管理 员 的 日 常 工作 量 中 占有 很 大 一 部 分 份额 ， 其 内 容 包 括 : 用 户 的 开户 与 撤销 
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管理 ， 用 户 组 的 设置 与 管理 ， 用 户 使 用 系统 服务 和 资源 的 权限 管理 和 配额 管理 ， 用 户 计 费 管 
理 ， 以 及 包括 用 户 拧 面 联网 计算 机 的 技术 文 持 服务 和 用 户 技 术 培 训 服 务 的 用 户 端 支持 服务 。 
建设 计算 机 网 络 的 目的 是 为 用 户 提供 服务 ， 网 络 管理 员 必 须 坚 持 以 人 为 本 、 服 务 至 上 的 原 
则 。 

5. 网 络 安全 保密 管理 

言 息 存储 备份 管理 和 网 络 机 房管 理 。 这 些 管 理 涉及 多 个 领域 ， 每 个 领域 的 管理 又 有 各 自 
特定 的 任务 。 

不 设防 的 网 络 好 比 在 开门 指 盗 ， 网 络 管理 员 在 提供 网 络 服务 的 同时 必须 特别 注重 网 络 的 
安全 与 保密 管理 。 安 全 与 保密 是 一 个 问题 的 两 个 方面 ， 安 全 主要 指 防止 外 部 对 网 络 的 攻击 和 
入 侵 ， 保 密 主 要 指 防止 网 络 内 部 信息 的 泄露 。 根 据 所 维护 管理 的 计算 机 网 络 的 安全 保密 要 求 
级 别 的 不 同 ， 网 络 管理 员 的 任务 也 不 同 。 对 于 普通 级 别 的 网 络 ， 网 络 管理 员 的 任务 主要 是 配 
置 管理 好 系统 防火 墙 。 为 了 能 够 及 时 发 现 和 阻止 网 络 黑 客 的 攻击 ， 可 以 再 配置 人 侵 检 测 / 防 
御 系 统 对 关键 服务 提供 安全 保护 。 对 于 安全 保密 级 别 要 求 高 的 网 络 ， 网 络 管理 员 除了 应 该 采 
取 上 述 措施 外 ， 还 应 该 配备 网 络 安全 漏洞 扫描 系统 ， 对 关键 的 网 络 服务 器 采取 容 灾 的 技术 手 
段 。 更 严格 的 涉 密 计算 机 网 络 ， 还 要 求 在 物理 上 与 外 部 公共 计算 机 网 络 绝 对 隔离 ; 对 安置 涉 
密 网 络 计算 机 和 网 络 主干 设备 房间 的 要 采取 安全 措施 ， 控 制 管 理 人 员 的 进出 ; 对 涉 密 网 络 用 
户 的 工作 情况 要 进行 全 面 的 监控 管理 。 

6. 信息 存储 备份 管理 

在 计算 机 网 络 中 最 贵重 的 是 什么 ? 不 是 设备 ， 不 是 计算 机 软件 ， 而 是 数据 和 信息 。 任 何 
设备 都 有 损坏 的 可 能 ， 任 何 软件 都 有 过 时 的 时 候 ， 设 备 损坏 可 以 重新 购置 ， 软 件 可 以 更 新 ， 
言 息 和 数据 一 旦 丢失 ， 损 失 将 无 法 弥补 。 因 此 网 络 管理 员 还 有 一 个 重要 职责 ， 就 是 采取 一 切 
可 能 的 技术 手段 和 管理 措施 ， 保 护 网 络 中 的 信息 安全 。 对 于 实时 工作 级 别 要 求 不 高 的 系统 和 
数据 ， 最 低 限 度 网 络 管理 员 也 应 该 进行 定期 手工 操作 备份 ; 对 于 关键 业务 服务 系统 和 实时 级 
别 高 的 数据 和 信息 ， 网 络 管理 员 应 该 建立 存储 备份 系统 ， 进 行 集中 式 的 备份 管理 ; 最 后 ， 将 
备份 数据 随时 保存 在 安全 地 点 更 是 非常 重要 的 。 

7. 网 络 机 房管 理 

网 络 机 房 是 安置 网 络 系统 关键 设备 的 要 地 ， 是 网 络 管理 员 日 常 工作 的 场地 。 根 据 网 络 规 
模 的 不 同 ， 网 络 机 房 的 功能 复杂 程度 也 不 同 。 一 个 正规 的 网 络 机 房 通常 分 为 网 络 主干 设备 
区 、 网 络 服务 器 设备 区 、 系 统 调试 维护 维修 区 、 软 件 开 发 区 和 空调 电源 设备 区 。 对 于 网 络 机 
房 的 日 常 管理 ， 网 络 管理 员 的 任务 是 : 掌管 机 房 数据 通信 电缆 布线 情况 ， 在 增 减 设备 时 确保 
布线 合理 ， 管 理 维护 方便 ; 负责 机 房 设 备 供电 线路 的 安排 ， 在 增 减 设备 时 注意 负载 的 合理 配 
置 ; 管理 网 络 机 房 的 温度 、 湿 度 和 通风 状况 ， 提 供 适 合 的 工作 环境 ; 确保 网 络 机 房 内 各 种 设 
备 的 正常 运转 ; 确保 网 络 机 房 符合 防火 安全 要 求 ， 火 和 警 监测 系统 工作 正常 ， 灭 火 措施 有 效 ; 
采取 措施 ， 在 外 部 供电 意外 中 断 和 恢复 时 ， 实 现在 无 人 值守 情况 下 保证 网 络 设备 安全 运行 。 
男 外， 保持 机 房 整洁 有 序 ， 按 时 记录 网 络 机 房 运行 日 志 ， 制 订 网 络 机 房管 理 制度 并 监督 执 
行 ， 也 是 网 络 管理 员 的 日 常 基本 职责 。 


7.2.3 网 络 管理 的 基本 方式 
网 络 管理 的 方式 是 随 着 网 络 技术 的 发 展 而 变化 的 。 早 期 以 人 工交 换 电 话 网 为 主 的 网 络 管 
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理 是 以 人 工 方式 进行 的 ， 由 于 网 络 设备 构成 和 网 络 业务 都 非常 简单 ， 管 理 内 容 主 要 是 电话 业 
务 流量 的 控制 以 及 转 接 电话 路 由 的 选择 等 工作 。 自 动 交 换 机 和 计算 机 网 络 出 现 以 后 ， 由 于 交 
换 机 和 路 由 融 等 网 络 设备 本 身 具 有 一 定 的 网 络 管理 功能 ， 出 现 了 人 工 与 自动 相 结合 的 管理 方 
式 。 但 这 时 网 络 设备 的 管理 功能 还 是 很 有 限 的 ， 这 时 的 管理 方式 主要 是 以 网 络 管理 中 心 为 主 
的 集中 方式 。 随 着 计算 机 技术 和 网 络 技术 的 飞速 发 展 ， 网 络 设备 越 来 越 复 杂 ， 网 络 设备 本 身 
就 提供 了 强大 的 网 络 管理 功能 ， 使 得 网 络 管理 的 方式 从 集中 方式 变 为 以 分 散 方式 为 主 。 为 了 
能 够 综合 管理 整个 网 络 ， 在 网 络 之 上 又 专门 建立 了 网 络 管理 网 ， 使 网 络 管理 系统 在 体系 结构 
上 更 加 合理 。 在 传统 的 常规 网 络 管理 方式 的 基础 上 ， 现 在 还 呈现 出 智能 化 的 网 络 管理 方式 ， 
依赖 先进 的 网 络 管理 方式 ， 能 更 加 有 效 地 掌控 网 络 ， 更 好 地 达到 网 络 管理 的 目标 。 


7.2.4 网 络 管理 的 对 象 


一 个 网 络 管理 系统 是 在 计算 机 网 络 环境 中 ， 采 用 一 定 的 网 络 管理 方法 ， 对 被 管理 的 计算 
机 网 络 的 运行 状态 进行 监测 和 控制 的 软 硬 件 系统 。 那 么 ， 网 络 管理 到 底 “ 管 理 ” 什 么 呢 ? 
一 般 来 说 ， 几 是 与 实际 所 管理 的 计算 机 网 络 相 关 的 硬件 设备 、 软 件 及 其 业务 系统 都 是 被 管理 
的 对 象 。 

1. 网络 硬 件 系统 

网 络 硬件 系统 主要 是 指 组 建 计 算 机 网 络 的 一 些 硬件 设备 ， 包 括 主机 、 交 换 机 、 路 由 器 、 
服务 器 、 终 端 、UPS 电源 等 ， 也 包括 一 些 通信 基础 设备 〈 如 PDHZSDH 传输 设备 、DWDM 传 
输 设备 等 )。 这 些 设备 可 以 看 成 是 构成 计算 机 网 络 系统 的 各 个 节点 的 业务 节点 设备 ， 用 传输 
线 缆 将 这 些 节 点 设备 按照 节点 之 间 的 关系 组 建 ， 它 们 一 般 都 是 物理 上 存在 的 一 些 实体 ， 看 得 
见 ， 摸 得 着 ， 这 些 硬件 设备 都 属于 网 络 管理 的 对 和 象 。 

2. 网 络 软 件 系统 

网 络 软 件 系 统 是 指 计算 机 网 络 硬件 设备 正常 运行 所 需要 的 一 些 软件 ， 如 网 络 操 作 系 统 
Unix、Linux 和 Windows Server 2003 等 ， 还 包括 一 些 网 络 管理 的 专用 软件 ， 用 于 对 计算 机 网 
络 进行 监测 和 监控 ， 这 些 软 件 主 要 是 一 些 具 有 较 强 网 络 管理 功能 的 系统 软件 ， 辅 助 管理 员 管 
理 网 络 使 用 。 

3. 网 络 业务 系统 

网 络 业务 系统 主要 是 计算 机 网 络 中 面向 用 户 提 供 的 各 种 应 用 性 业务 。 这 些 业 务 在 网 络 设 
备 上 运行 ， 从 某 种 意义 上 说 ， 网 络 硬件 系统 和 网 络 软件 系统 都 是 为 网 络 业 务 系统 准备 的 。 网 
络 业务 系统 运行 在 计算 机 网 络 中 ， 网 络 业 务 系统 也 成 为 网 络 管理 重要 的 管理 对 象 之 一 。 


7.3 网 络 管理 的 基本 功能 



































国际 标准 化 组 织 ISO 在 网 络 管理 框架 (ISOAIEC 7498-4) 中 为 网 络 管理 定义 了 五 大 功能 
并 被 广泛 接受 。 它 们 是 配置 管理 、 故 障 管理 、 性 能 管理 、 安 全 管理 和 计 费 管理 。 实 际 上 ， 在 
网 络 管理 过 程 中 ， 网 络 管理 涉及 的 工作 远 远 不 止 这 些 ， 包 括 网 络 的 规划 设计 和 网 络 操作 人 员 
的 管理 等 ， 都 是 和 网 络 管理 紧密 相关 的 。 本 节 主 要 围绕 这 五 大 功能 一 一 做 简单 的 介绍 。 


7.3.1 配置 管理 
配置 管理 是 最 基本 、 最 核心 的 网 络 管理 功能 ， 目 的 是 管理 网 络 的 建立 、 扩 充 、 改 造 和 提 
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供 。 主 要 提供 资源 清单 管理 功能 、 资 源 开 通 功能 、 业 务 开通 功能 及 网 络 拓扑 服务 功能 。 配 置 
管理 负责 监控 网 络 的 基本 配置 信息 ， 使 网 络 管理 人 员 可 以 根据 需要 随时 查询 、 生 成 和 修改 软 
硬件 的 运行 状态 及 参数 ， 以 保障 网 络 的 正常 运行 。 

配置 管理 是 一 个 中 长 期 的 活动 ， 它 要 管理 的 是 因 网 络 增 容 、 设 备 更 新 、 新 技术 的 应 用 、 
新 业务 的 开通 、 新 用 户 的 加 入 、 业 务 的 撤销 、 用 户 的 迁移 等 原因 而 导致 的 网 络 配置 的 变更 。 
网 络 规划 与 配置 管理 关系 密切 ， 在 实施 网 络 规划 的 过 程 中 ， 配 置 管理 发 挥 最 主要 的 管理 作 
用 。 

1. 资源 清单 管理 功能 

资源 清单 管理 是 配置 管理 的 基本 功能 。 在 一 个 大 型 网 络 中 ， 需 要 管理 的 设备 比较 多 ， 如 
果 每 个 设备 的 配置 信息 都 完全 依靠 管理 人 员 人 工 获取 ， 工 作 量 是 相当 大 的 ， 而 且 不 容易 做 
到 。 资 源 清 单 管理 功能 可 以 联机 提供 网 络 中 的 网 络 设 备 、 器 材 、 电 路 、 服 务 、 客 户 、 设 备 厂 
商 等 资源 的 信息 ， 即 使 在 网 络 管理 人 员 不 是 很 熟悉 网 络 结构 和 配置 状况 的 情况 下 ， 也 能 通过 
有 关 的 技术 手段 来 完成 对 网 络 配置 信息 的 查询 。 

在 网 络 设备 的 配置 信息 中 ， 可 以 将 网 络 资源 清单 定义 为 被 管 对 象 ， 重 点 描述 其 属性 、 连 
接 及 状态 。 根 据 网 络 管理 协议 标准 的 MIB 建立 资源 MIB， 提 供 对 资源 清单 的 提取 、 增 加 、 
删除 和 修改 等 功能 。 

2. 资源 开通 功能 

资源 开通 功能 保证 根据 客户 的 业务 需求 ， 经 济 合理 地 供应 、 开 发 和 配置 所 需 的 资源 。 资 
源 开通 功能 所 指 的 资源 主要 是 指 提供 接 和 人 人、 交换 、 传 输 和 MIB 等 功能 的 网 络 设 备 。 这 些 网 
络 设备 包括 人 硬件 和 软件 ， 硬 件 如 网 络 基础 设施 、 公 用 装置 、 插 接 件 、 跳 线 等 ; 软件 如 网 络 操 
作 系 统 、 数 据 库 等 。 

3. 业务 开通 功能 

业务 的 开通 从 用 户 要 求 时 开始 ， 到 网 络 实际 提供 业务 时 结束 。 它 包含 网 络 装载 和 管理 业 
务 所 需要 的 过 程 。 业 务 的 提供 也 具有 回 各 个 客户 或 客户 组 分 配 物理 资源 或 逻辑 资源 的 能 

4. 网 络 拓扑 服务 功能 

网 络 拓 扑 服 务 提供 显示 网 络 及 各 个 构成 层次 的 布局 的 功能 。 显 示 的 网 络 布局 有 3 种 形 
式 ， 即 物理 布局 、 逻 辑 布局 与 电气 布局 。 为 了 文 持 各 个 层次 各 种 形式 的 网 络 布局 显示 ， 需 要 
网 络 配置 数据 库 的 文 持 ， 存 放 当 前 设备 的 配置 数据 ， 还 要 存放 历史 的 配置 数据 ， 以 便 能 够 显 
示 网 络 布局 的 变化 过 程 。 


7.3.2 故障 管理 


故障 管理 是 网 络 管理 中 最 基本 的 功能 之 一 ， 它 的 目的 是 迅速 发 现 和 纠正 网 络 故障 ， 动 态 
维护 网 络 服务 水 平 的 一 系列 活动 ， 这 些 活动 保证 了 网 络 有 高 度 的 可 用 性 和 有 效 性 。 故 障 管理 
通过 检测 、 记 录 日 志 ， 并 通知 用 户 ， 尽 可 能 地 自动 修复 网 络 故 障 ， 保 障 网 络 的 正常 运行 。 

用 户 总 是 希望 网 络 提 供 的 服务 是 不 间断 的 、 可 靠 的 。 事 实 上 ， 网 络 对 于 设备 和 传输 媒体 
的 故障 是 脆弱 的 。 硬 件 、 软 件 和 数据 的 问题 都 可 能 会 引发 网 络 故障 。 比 如 断 电 、 程 序 缺 陷 、 
数据 库 错 误 、 自 然 灾害 等 都 是 引发 网 络 故 障 的 原因 。 网 络 发 生 故 障 后 ， 必 须 迅 速 进行 故障 诊 
世 和 故障 定位 ， 以 便 尽 快 恢 复业 务 ， 修 复 故 障 。 进 行 故障 管理 可 以 采取 两 种 策略 ， 即 事后 策 
略 和 预防 策略 。 事 后 策略 是 一 旦 发 现 故障 迅速 进行 修复 的 策略 ， 发 生 故 障 首要 任务 是 快速 修 
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复 故 障 ， 尽 快 恢复 网 络 提 供 的 业务 ; 然后 深入 分 析 故 障 发 生 的 原因 及 发 生 故 障 的 网 络 组 件 ， 
这 些 经 验 教训 对 防止 类 似 故 障 的 再 次 发 生 相 当 重 要 。 预 防 策略 是 通过 随时 对 网 络 的 性 能 进行 
分 析 ， 主 动 探测 和 收集 网 络 上 的 各 种 事件 信息 ， 尽 可 能 发 现 发 生 故 障 的 苗头 ， 确 定好 修复 措 
施 。 或 者 对 网 络 中 非常 关键 的 设备 采取 宛 余 备份 措施 ， 一 旦 某 些 设备 发 生 故 障 ， 迅 速 启用 它 
的 备用 设备 ， 尽 力 做 到 不 影响 网 络 的 正常 和 运行。 一 般 来 说 ， 故 障 管理 可 以 实现 以 下 功能 。 

1. 故障 检测 和 报警 功能 

故障 检测 是 主动 检测 或 被 动 接收 网 络 上 的 各 种 事件 信息 ， 分 析出 其 中 与 网 络 和 系统 故障 
相关 的 内 容 ， 对 其 关键 部 分 保持 跟踪 ， 生 成 网 络 故障 事件 记录 。 报 警 功能 是 接收 故障 检测 模 
块 传 来 的 报警 信息 ， 根 据 报警 策略 驱动 不 同 的 报警 程序 ， 以 报警 窗口 / 振 铃 (通知 值班 网 络 
管理 人 员 ) 或 电子 邮件 (通知 决策 管理 人 员 ) 发 出 网 络 严重 故障 警报 。 

2. 故障 信息 管理 功能 

故障 信息 管理 是 一 件 很 有 意义 的 管理 ， 它 对 于 预防 故障 的 再 次 发 生起 到 了 很 好 的 警示 作 
用 。 有 排 错 经 验 的 管理 员 会 经 常 检 索 并 分 析 故 障 信 息 ， 故 障 信息 的 管理 可 以 从 两 个 方面 人 
手 : 第 一 ， 网 络 管理 人 员 应 该 深入 分 析 故 障 发 生 的 事件 记录 ， 定 义 网 络 故障 并 生成 故障 卡 
片 ， 记 录 故 障 发 生 的 原因 和 解决 方案 ， 这 些 故障 信息 的 收集 整理 都 是 非常 有 用 的 ; 第 二 ， 故 
障 信息 很 大 一 部 分 是 网 络 设备 模块 自动 记录 的 日 志 、 报 警 信息 等 ， 这 些 信 息 对 于 网 络 管理 人 
员 修 复 网 络 故障 都 是 非常 有 帮助 的 。 

3. 故障 定位 功能 

故障 定位 功能 就 是 要 确定 网 络 设 备 中 故障 的 位 置 ， 找 出 故障 发 生 的 真正 原因 。 故 障 定 位 
的 手段 主要 有 诊断 、 试 运行 和 软件 检查 。 

1) 诊断 : 检验 设备 的 性 能 是 否 正 常 。 需 要 注意 的 是 ， 在 诊断 进行 期 间 ， 被 诊断 的 设备 
不 能 进行 正常 的 业务 。 

2) 试 运行 : 将 部 分 网 络 设备 隔离 ， 利 用 被 试 运行 设备 正常 的 输入 输出 端口 和 测试 露 ， 
系统 地 测试 被 隔离 网 络 设备 的 所 有 服务 特性 。 

3) 软件 检查 : 利用 软件 进行 的 检查 有 核查 、 校 验 和 运行 测试 、 程 序 跟踪 等 。 

4. 电路 测试 功能 

电路 测试 是 对 分 散在 不 同位 置 的 网 络 设备 之 间 的 线 缆 进 行 测试 ， 看 是 否 发 生 故 障 并 且 确 
定 发 生 故 障 的 位 置 。 通 党 的 方式 是 进行 端 到 端的 测试 以 检查 故障 。 

5. 业务 恢复 功能 

业务 恢复 是 指 在 网 络 发 生 故 障 后 ， 网 络 必 须 继 续 提 供 业 务 。 通 常 采用 的 方法 是 在 网 络 组 
建 的 时 候 预 备 一 些 兄 余 备 用 资源 ， 一 旦 某 些 设备 发 生 故 障 ， 将 这 些 设 备 先 隔离 出 来 ， 启 用 备 
用 的 设备 ， 以 便 快速 恢复 网 络 的 正常 运行 。 
7.3.3 性 能 管理 

性 能 管理 用 来 评估 系统 资源 的 运行 状况 及 通信 效率 等 系统 性 能 。 其 能 力 包 括 监 视 和 分 析 
被 管 网 络 及 其 所 提供 服务 的 性 能 。 性 能 分 析 的 结果 可 能 会 触发 某 个 诊断 测试 过 程 或 重新 配置 
网 络 以 维持 网 络 的 性 能 。 人 性 能 管理 收集 分 析 有 关 被 管 网 络 当 前 状况 的 数据 信息 ， 并 维持 和 分 
析 性 能 日 志 。 有 目前 高 校 的 P2P 流量 大 量 占用 着 网 络 带宽 ， 只 有 有 效 地 对 网 络 带宽 进行 分 析 
统计 并 采取 相关 的 措施 ， 才 能 保证 校园 网 高 速 地 运行 。 一 些 高 校 使 用 流量 控制 设备 对 全 网 的 
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流量 进行 分 析 、 统 计 ， 并 制定 相关 的 策略 限制 P2P 流量 ,保证 带宽 的 合理 使 用 。 校 园 网 性 
能 管理 典型 的 功能 包括 : 

1) 收集 、 分 析 、 统 计 网 络 设备 的 信息 。 

2) 维护 并 检查 系统 状态 日 志 。 

3) 确定 自然 和 人 工 状 况 下 系统 的 性 能 。 

4) 制定 相关 的 管理 措施 保证 校园 网 的 合理 使 用 。 


7.3.4 安全 管理 


安全 管理 的 任务 主要 是 保证 网 络 资源 的 安全 ， 包 括 保护 网 络 设备 在 内 的 各 种 网 络 资源 ， 
防止 非法 入 侵 ， 确 保 网 络 中 的 服务 、 数 据 及 系统 免 受 侵扰 和 破坏 ， 包 括 网 络 管理 系统 本 身 也 
不 会 被 非法 使 用 ， 保 证 整个 网 络 体系 的 安全 。 

安全 管理 的 功能 可 以 分 为 两 个 层次 : 一 是 网 络 管理 系统 本 身 的 安全 ; 二 是 被 管 网 络 对 象 
的 安全 。 需 要 明确 的 是 ， 安 全 管理 很 大 程度 上 依赖 于 现 有 的 网 络 与 信息 安全 技术 ， 安 全 管理 
不 可 能 做 到 百分之百 保证 网 络 不 受到 侵扰 和 破坏 ， 对 于 安全 管理 来 说 ， 尽 可 能 采用 先进 的 网 
络 安全 技术 手段 抵 御 网 络 入 侵 和 破坏 ， 严 格 履行 管理 人 员 的 职责 ， 提 高 网 络 安 全 防范 意识 ， 
最 大 限度 地 保障 网 络 的 安全 。 

一 般 来 说 ， 安 全 管理 实现 以 下 的 功能 。 

1. 风险 分 析 功 能 

网 络 风险 时 时 刻 刻 困扰 着 网 络 ， 网 络 管理 人 员 必 须 做 到 对 网 络 系统 受到 侵扰 和 破坏 的 风 
险 进行 分 析 ， 对 系统 可 能 遭受 威胁 的 网 络 设备 做 到 心中 有 数 ， 对 潜在 的 各 种 攻击 行为 及 其 产 
生 的 严重 后 果 进 行 分 析 ， 尽 可 能 加 强 安全 防范 。 

2. 安全 服务 功能 

网 络 安全 服务 是 通过 网 络 安全 机 制 来 实现 的 ， 一般 的 网 络 会 采取 这 些 安全 机 制 来 提高 网 
络 安全 性 能 ,保障 设 备 安全 可 靠 地 运行 。 这 些 安全 措施 包括 加 密 、 数 字 签 和 名、 认证、 访问 控 
制 、 路 由 控制 、 业 务 流 分 析 保护 等 。 

3. 报警 、 日 志和 报告 功能 

网 络 安全 管理 提供 报警 、 日 志和 报告 功能 ， 通 常 可 以 帮助 网 络 管理 人 员 更 好 地 掌握 网 络 
安全 状况 。 一 般 重 要 的 网 络 ， 预 完 安 装 有 入侵 检测 系统 (IDS)， 对 非法 访问 网 络 的 行为 进 
行 报警 ; 这些 报 警 信息 有 利于 判别 网 络 信 侵 行为 。 还 有 的 网 络 设备 提供 了 日 志和 报告 功能 ， 
通过 对 这 些 设备 运行 和 被 访问 的 纪录 进行 分 析 ， 也 可 以 判断 出 当前 网 络 是 否 存在 非法 访问 等 
情况 。 

4. 网 络 管理 系统 的 保护 功能 

网 络 管理 系统 是 网 络 的 中 枢机 构 ， 有 关 网 络 的 一 切 信息 和 数据 都 和 网 络 管理 系统 密切 相 
关 ， 这 一 部 分 是 网 络 安全 管理 中 的 重点 ， 必 须 采用 高 度 可 靠 的 安全 措施 对 其 保护 。 一 般 网 络 
管理 系统 在 设计 之 初 ， 就 格外 重视 网 络 安全 防范 的 设计 ， 通 常 有 更 为 严格 的 安全 身份 认证 、 
数据 加 密 机 制 ， 并 且 能 提供 对 网 络 管理 系统 自身 保护 的 功能 。 


7.3.5 计 费 管理 
计 费 管理 主要 负责 监视 和 记录 网 络 用 户 对 网 络 资源 的 使 用 情况 ， 并 按 相 关 标 准 核 收费 
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用 ， 其 目的 是 通过 收取 用 户 使 用 网 络 服务 的 费用 以 便 进 行 网 络 资源 利用 率 的 统计 分 析 和 网 络 
成 本 效益 的 核算 。 计 费 管理 所 涉及 的 网 络 资源 包括 硬件 资源 和 软件 资源 、 网 络 服务 及 网 络 设 
施 的 额外 开销 ， 如 运行 、 维 护 费 用 每 。 对 于 以 级 利 为 目的 的 网 络 经 营 者 来 说 ， 计 费 管 理 功能 
无 疑 是 非常 重要 的 。 

计 费 管理 一 般 有 资费 管理 功能 和 账单 管理 功能 。 

1. 资费 管理 功能 

作为 网 络 的 经 营 者 或 建设 者 ， 计 算 网 络 建设 和 和 运营 成 本 ， 并 且 确 定 网 络 提供 的 资源 的 利 
用 及 收费 标准 ， 充 分 考虑 了 网 络 提供 的 各 类 服务 和 供需 关系 等 因素 制定 出 相应 的 资费 政策 。 

2. 账单 管理 功能 

在 资费 政策 的 标准 控制 下 ， 网 络 管理 系统 能 捕获 用 户 使 用 网 络 资源 或 服务 的 事件 ， 并 且 
按 相 关 收 费 标准 ， 为 用 户 计 算出 相应 的 费用 账单 。 











7.4 802. 1x 认证 管理 技术 


7.4.1 802. 1x 协议 介绍 


802. 1x 协议 起 源 于 802. 11 协议 〈IEEE 的 无 线 局 域 网 协议 ) ， 制 订 802. 1x 协议 的 初衷 
是 为 了 解决 无 线 局 域 网 用 户 的 接 入 认证 问题 。IEEE802LAN 协议 定义 的 局 域 网 并 不 提供 接 入 
认证 ， 只 要 用 户 能 接 入 局 域 网 控制 设备 (如 局 域 网 交换 机 )， 就 可 以 访问 局 域 网 中 的 设备 或 
资源 。 这 在 早期 企业 网 有 线 局 域 网 应 用 环境 下 并 不 存在 明显 的 安全 隐患 。 

随 着 移动 办 公 及 驻地 网 运营 等 应 用 的 大 规模 发 展 ， 服 务 提供 者 需要 对 用 户 的 接 入 进行 控 
制 和 配置 。 尤 其 是 WLAN 的 应 用 和 LAN 接 入 在 电信 网 上 大 规模 开展 ， 有 必要 对 端口 加 以 控 
制 以 实现 用 户 级 的 接 入 控制 ，802. 1x 就 是 IEEE 为 了 解决 基于 端口 的 接 入 控制 (Port-Based 
Network Access Control ) 而 定义 的 一 个 标准 。IEEE802. 1x 协议 是 标准 化 的 符合 IEEE802 协 
议 集 的 局 域 网 接 入 控制 协议 ， 其 全 称 为 基于 端口 的 访问 控制 协议 (Port Base Network Access 
Control Protocol) ， 能 够 在 利用 IEEE802 局 域 网 优势 的 基础 上 提供 一 种 对 连接 到 局 域 网 用 户 的 
认证 和 授权 手段 ， 达 到 接受 合法 用 户 接 入 、 保 护 网 络 安全 的 目的 。 


7.4.2 802. 1x 认证 体系 


802. 1x 是 一 种 基于 端口 的 认证 协议 ， 是 一 种 对 用 户 进 行 认证 的 方法 和 策略 。 端 口 可 以 是 一 
个 物理 端口 ， 也 可 以 是 一 个 逻辑 端口 《如 VLAN) 。 对 于 无 线 局 域 网 来 说 ， 一 个 端口 就 是 一 个 
襄 首 。802. 1x 认证 的 最 终 目的 就 是 确定 一 个 端口 是 否 可 用 。 对 于 一 个 端口 ， 如 果 认证 成 功 ， 那 
么 就 “打开 ”这 个 端口 ， 允 许 所 有 的 报 文通 过 ; 如 果 认 证 不 成 功 ， 就 使 这 个 端口 保持 “ 关 
闭 ”， 即 只 允许 802. 1x 的 认证 协议 报 文通 过 。802. 1x 的 体系 为 典型 的 Client/Server 体系 结构 ， 
如 图 7-3 所 示 ， 它 的 体系 结构 中 包括 3 个 部 分 ， 即 使 用 802. 1x 的 系统 包括 三 个 实体 : 请 求 者 系 
统 、 认 证 系统 和 认证 服务 器 系统 三 部 分 。 在 实际 应 用 中 ,三 者 分 别 对 应 : 用 户 终 端 ( Client)、 
交换 机 (Network Access Server，NAS) 和 认证 服务 器 (RADIUS Server) 。 

1) 请 求 者 是 位 于 局 域 网 链 路 一 端的 实体 ， 由 连接 到 该 链 路 另 一 端的 认证 系统 对 其 进行 
认证 。 请 求 者 通常 是 支持 802. 1x 认证 的 用 户 终 端 设 备 ， 用 户 通 过 启动 客户 端 软件 发 起 
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802. 1x 认证 。 请 求 者 即 客 户 端 ， 它 是 最 终 用 户 所 扮演 的 角色 ， 一 般 是 用 户 PC， 目 前 最 典型 
的 客户 端 有 Windows XP 操作 系统 自 带 的 IEEE802. 1x 客户 端 以 及 各 大 公司 基于 自身 产品 所 推 
出 的 客户 端 ， 如 锐 捷 公司 的 STAR Supplicant 软件 。 


请 求 者 系统 : 认证 系统 I ' ”认证 服务 器 
系统 


认证 系统 认证 系统 
提供 的 服务 PAE 











EAPoR/ 































图 7-3 802. 1x 认证 的 体系 结构 


2) 认证 系统 。 认 证 系统 对 连接 到 链 路 对 端的 认证 请 求 者 进行 认证 。 认 证 系统 通常 为 文 
持 802. 1x 协议 的 网 络 设备 ， 它 为 请 求 者 提供 服务 端口 ， 该 端口 可 以 是 物理 端口 也 可 以 是 逻 
辑 端口 ， 一 般 在 用 户 接 入 设备 ， 如 局 域 网 交换 机 (LAN Switch) 和 无 线 接 入 AP 上 实现 
802. 1x 认证 。 认 证 者 通常 为 支持 802. 1x 协议 的 交换 机 ， 该 设备 的 职责 是 根据 客户 端 当 前 的 
认证 状态 控制 其 与 网 络 的 连接 状态 。 在 客户 端 和 认证 服务 器 之 间 ， 该 设备 扮演 着 中 介 者 的 角 
色 。 从 客户 端 要 求 用 户 名 核实 从 服务 器 端的 认证 信息 并 且 转 发 给 客户 端 ， 交 换 机 要 负责 把 从 
客户 端 收 到 的 回应 封装 到 认证 服务 融 格 式 的 报 文 并 转发 给 认证 服务 硕 ， 同 时 还 要 把 认证 服务 
器 收 到 的 信息 解释 出 来 并 转发 给 客户 端 。 

3) 认证 服务 器 系统 。 认 证 服务 器 是 为 认证 系统 提供 认证 服务 的 实体 ， 一 般 使 用 RADI- 
US 服务 器 来 实现 认证 和 授权 功能 。 请 求 者 和 认证 系统 之 间 运 行 802. 1x 定义 的 EAPOL ( Ex- 
tensible Authentication Protocol over LAN) 协议 。 当 认证 系统 工作 于 中 继 方 式 时 ， 认 证 系统 与 
认证 服务 需 之 间 也 运行 EAP 协议 ，EAP 帧 中 封装 认证 数据 ， 将 该 协议 承载 在 其 他 高 层次 协 
议 中 〈 如 RADIUS) ， 以 便 穿 越 复杂 的 网 络 到 达 认 证 服务 器 ; 当 认 证 系统 工作 于 终结 方式 时 ， 
认证 系统 终结 EAPoL 消息 ， 并 转换 为 其 他 认证 协议 〈 如 RADIUS) ， 传 递 用 户 认证 信息 给 认 
证 服务 融 系 统 。 

认证 系统 每 个 物理 端口 内 部 包含 有 受 控 端口 和 非 受 控 端 口 。 非 受 控 端口 始终 处 于 双向 连 
通 状态 ， 主 要 用 来 传递 EAPoL 协议 帧 ， 可 随时 保证 接收 认证 请 求 者 发 出 的 EAPoL 认证 报 文 ; 
受 控 端口 上 只 有 在 认证 通过 的 状态 下 才 打 开 ， 用 于 传递 网 络 资源 和 服务 。 


7.4.3 802. 1x 认证 过 程 


认证 过 程 可 以 由 用 户主 动 发 起 ， 也 可 以 由 认证 系统 发 起 。 一 方面 ， 当 认证 系统 探测 到 有 
未 经 过 认证 的 用 户 使 用 网 络 时 ， 就 会 主动 向 客户 端 发 送 EAP-Request/Identity 报 文 ， 发 起 认 
证 ; 妃 一 方面 ， 客 户 端 可 以 通过 客户 端 软 件 癌 认证 系统 发 送 EAPOL-Start 报 文 ， 发 起 认证 。 
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802. 1x 系统 文 持 EAP 中 继 方式 和 EAP 终结 方式 与 RADIUS 对 接 ， 从 而 利用 远 疹 的 RADIUS 
服务 器 完 成 认证 。 以 下 关于 两 种 认证 方式 的 过 程 描述 ， 都 以 客户 端 主动 发 起 认证 为 例 。 

1. EAP 中 继 方式 

这 种 方式 是 IEEE 802. 1x 标准 规定 的 ， 将 扩展 认证 协议 (EAP) 承载 在 其 他 高 层 协议 
如 EAPoR (EAP over RADIUS)， 以 便 扩展 认证 协议 报 文 穿越 复杂 的 网 络 到 达 认 证 服务 

。 一 般 来 说 ，EAP 中 继 方 式 需要 RADIUS 服务 器 文 持 EAP 属性 : EAP-Message 和 Message- 
ee 基本 业务 流程 如 图 7-4 所 示 ， 其 认证 过 程 如 下 : 


ee System 
AE 


EAPOL—Start 


EAP—Request/Identity 
RADIUS Access-Request 
EAP-Response/Identity (EAP-Response/Identity) 
RADIUS Access-Challenge 
EAP—Request/MDS challenge (EAP-RequestMD3 challenge) 
RADIUS Access-Request 
EAP—Response/MDS challenge (EAP—Response/MDS challenge) 
RADIUS Access-Accept 
EAP-Success (EAP-Success) 









System RADUIS 


Server 


BE 
， 端口 被 授权 | 


握手 请 求 报 文 
[EAP-RequesVIdentity] 


握手 应 答 报 文 
[EAP-Response/Identity] 


[本 这 二 
i 端口 非 授权 | 
一 一 
图 74 802. 1x 认证 系统 的 EAP 中 继 方式 业务 流程 
1) 当 用 户 有 访问 网 络 需求 时 打开 802. 1x 客户 端 程序 ， 输 入 已 经 申请 、 登 记过 的 用 户 名 


和 密码 ， 发 起 连接 请 求 (EAPOL-Start 报 文 )。 此 时 ， 客 户 端 程序 将 发 出 请 求 认 证 的 报 文 给 
设备 端 ， 开 始 启 动 一 次 认证 过 程 。 
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2) 设备 端 收 到 请 求 认 证 的 数据 帧 后 ， 将 发 出 一 个 请 求 帧 〈EAP-Request/Identity 报 文 ) 
要 求 用 户 的 客户 端 程序 将 输入 的 用 户 名 发 送 过 来 。 

3) 客户 端 程序 响应 设备 端 发 出 的 请 求 ， 将 用 户 名 信息 通过 数据 帧 (上 EAP-Response/T 
dentity 报 文 ) 发 送 给 设备 端 。 设 备 端 将 客户 端 发 送 的 数据 帧 经 过 封包 处 理 后 (RADIUS Ac- 
cess-Request 报 文 ) 送 给 认证 服务 器 进行 处 理 。 

4) 认证 服务 器 收 到 设备 端 发 送 来 的 用 户 名 信息 后 ， 将 该 信息 与 数据 库 中 的 用 户 名 表 对 
比 ， 找 到 该 用 户 名 对 应 的 密码 信息 ， 用 随机 生成 的 一 个 加 密 字 对 它 进 行 加 密 处 理 ， 同 时 也 将 
此 加 密 字 通 过 RADIUS Access-Challenge 报 文 发 送 给 设备 端 ， 由 设备 端 转发 客户 端 程 序 。 

5) 客户 端 程序 收 到 由 设备 端 传 来 的 加 密 字 (EAP-Request/ MD5 Challenge 报 文 ) 后 ， 用 
该 加 密 字 对 密码 部 分 进行 加 密 处 理 (此 种 加 密 算 法 通常 是 不 可 逆 的 ， 生 成 EAP-Response/ 
MD5 Challenge 报 文 ) ， 并 通过 设备 端 传 给 认证 服务 器 。 

6) 认证 服务 器 将 收 到 的 已 加 密 的 密码 信息 (RADIUS Access-Request 报 文 ) 和 本 地 经 过 
加 密 运 算 后 的 密码 信息 进行 对 比 ， 如 果 相 同 ， 则 认为 该 用 户 为 合法 用 户 ， 反 馈 认 证 通过 的 消 
息 (RADIUS Access-Accept 报 文 和 EAP-Success 报 文 ) ， 设 备 收 到 认证 通过 的 消息 后 触发 打 
开端 口 的 动作 ， 人 允许 用 户 的 业务 流通 过 端口 访问 网 络 。 

7) 认证 通过 后 ， 设 备 端 会 定期 监测 用 户 的 在 线 情况 ， 方 法 是 设备 端 向 客户 端 发 送 握手 
报 文 。 默 认 情 况 下 ， 两 次 握手 请 求 报 文 都 得 不 到 客户 端 应 答 ， 设 备 端 就 会 让 用 户 下 线 ， 防 止 
用 户 因 为 异常 原因 下 线 而 设备 无 法 感知 。 

8) 客户 端 也 可 以 发 送 EAPOL-Logoff 报 文 给 设备 端 ， 主 动 终止 已 认证 状态 ,设备 端 把 端 
口 状态 从 授权 状态 改变 成 未 授权 状态 。 

2. EAP 终结 方式 

这 种 方式 将 EAP 报 文 在 设备 端 终结 并 映射 到 RADIUS 报 文中 ， 利 用 标准 RADIUS 协议 
完成 认证 、 授 权 和 计 费 。 基 本 业务 流程 如 图 7-5 所 示 。 

EAP 终结 方式 与 EAP 中 继 方 式 的 认证 流程 相 比 ， 用 来 对 用 户 密码 信息 进行 加 密 处 理 的 
随机 加 密 字 由 设备 端 生成 ， 之 后 设备 端 会 把 用 户 名 、 随 机 加 密 字 和 客户 端 加 密 后 的 密码 信息 
一 起 送 给 认证 服务 器 ， 进 行 相关 的 认证 处 理 。 其 中 ，802. 1x 认证 过 程 中 会 启动 多 个 定时 器 
以 控制 接 和 人 用户、 设备 以 及 RADIUS 服务 器 之 间 进 行 合 理 、 有 序 的 交互 。 

3. 802. 1x 在 设备 中 的 实现 

一 般 网 络 交 换 机 设备 在 802. 1x 的 EAP 中 继 方 式 和 EAP 终结 方式 的 实现 中 ， 不 仅 文 持 协 
议 所 规定 的 端口 接 入 认证 方式 ， 还 对 其 进行 了 扩展 、 优 化 ， 可 以 支持 一 个 物理 端口 下 挂 接 多 
个 用 户 的 应 用 场合 ; 接 入 控制 方式 ( 即 对 用 户 的 认证 方式 ) 可 以 采用 基于 MAC 地 址 (Mac 
Based) 和 基于 端口 (Port Based) 两 种 方式 。 当 采用 Mac Based 方式 时 ， 该 端口 下 的 所 有 接 
入 用 户 均 需 要 单独 认证 ， 当 某 个 用 户 下 线 时 ， 也 只 有 该 用 户 无 法 使 用 网 络 。 当 采用 Port 
Based 方式 时 ， 只 要 该 端口 下 的 第 一 个 用 户 认 证 成 功 后 ， 其 他 接 和 人 用 户 无 须 认 证 就 可 使 用 网 
络 资源 ， 但 是 当 第 一 个 用 户 下 线 后 ， 其 他 用 户 也 会 被 拒绝 使 用 网 络 。 这 样 可 极 大 地 提高 系统 
的 安全 性 和 可 管理 性 。 


7.4.4 802. 1x 认证 技术 在 组 网 中 的 应 用 
按照 不 同 的 组 网 方式 ，802. 1x 认证 可 以 采用 集中 式 组 网 (汇聚 层 设备 集中 认证 ) 、 分 布 
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式 组 网 ( 接 入 层 设备 分 布 认 证 ) 和 本 地 认证 组 网 。 不 同 的 组 网 方式 下 ，802. 1x 认证 系统 实 


现 的 网 络 位 置 有 所 不 同 。 


Supplicant System Authenticator System 
PAE PAE 
EAPOIL 一 Start 
上 AP-ResquesVIdentity 
EAP-Response/Identity 
EAP-RequesVMD3 challenge 
EAP-Response/MD5S challenge 





RADIUS Access-Request 
(CHAP-Response/MD5S challenge) 


EAP-Success 


el 
识 端口 被 授权 _ | 


握手 请 求 报 文 
[EAP-RequestIdentity] 


端口 非 授权 
Ee | 
一 一 一 


图 7-5 802. 1x 认证 系统 的 EAP 终结 方式 业务 流程 


1.802. 1x 集中 式 组 网 (汇聚 层 设备 集中 认证 ) 





802. 1x 集中 式 组 网 方式 是 将 802. 1x 认证 系统 端 放 到 网 络 位 置 较 高 的 LAN Switch 设备 
上 ， 这 些 LAN Switch 为 汇聚 层 设备 。 其 下 挂 的 网 络 位 置 较 低 的 LAN Switch 只 将 认证 报 文 传 
给 作为 802. 认证 系统 端的 网 络 位 置 较 高 的 LAN Switch 设备 ， 集 中 在 该 设备 上 进行 802. 1x 
认证 处 理 。 这 种 组 网 方式 的 优点 在 于 802. 1x 采用 集中 管理 方式 ， 降 低 了 管理 和 维护 成 本 。 


汇聚 层 设 备 集中 认证 如 图 7-6 所 示 。 
2. 802. 1x 分 布 式 组 网 ( 接 入 层 设备 分 布 认 证 ) 


802. 1x 分 布 式 组 网 是 把 802. 1x 认证 系统 端 放 在 网 络 位 置 较 低 的 多 个 LAN Switch 设备 
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上 上， 这些 LAN Switch 作为 接 和 人 层 边 缘 设备 。 认 证 报 文 送 给 边缘 设备 ， 进 行 802. 1x 认证 处 
理 。 这 种 组 网 方式 的 优点 在 于 ， 它 采用 中 /高 端 设备 与 低 端 设备 认证 相 结合 的 方式 ， 可 满足 
复杂 网 络 环境 的 认证 要 求 。 认 证 任务 分 配 到 众多 的 设备 上 ， 减 轻 了 中 心 设 备 的 负载 。 接 人 层 
设备 分 布 认证 如 图 7-7 所 示 。 


RADIUS Server 





5 用 户 获取 IP 地 址 后 ， 可 以 正常 访问 


Internet 资 源 





4 用 户 通过 认证 后 ， 从 
DHCP 获 得 IP 地 址 3 汇聚 设备 作为 认证 系统 ， 与 
RADIUS Server 配 合 完成 用 户 认 证 


i 2 接 入 设备 端口 通过 认证 前 不 能 访 
人 12 问 任何 地 方 ， 并 且 不 能 获得 IP 地 址 
客户 册 mg] 1 用 户 发 起 认证 


RADIUS Server 


7 用户 获 得 下 地 址 后 ， 可 以 正 





常 访问 Internet 资源 7 
a ’ 
| 下 a oe 
es re “~, 4 接 入 设备 与 RADIUS Server 
Sy 多 ” ”配合 完成 用 户 认证 
" 1 
- a» 各 > ” Fr 
mm 要 了 \、 
CR 5 L3 通过 集群 管理 控制 12 受 
控 端 口 状态 
3 EAP 终结 ， 接 入 设备 作为 认证 系统 
2 EAPoL Relay _---- - a 获得 IP 地 址 


A L2 
用 户 端 mm ese 1 用 户 发 起 认证 


图 7-7 802. 1x 分 布 式 组 网 ( 接 入 层 设备 分 布 认证 ) 





802. 1x 分 布 式 组 网 方式 非常 适用 于 受 控 组 播 等 特性 的 应 用 ， 建 议 采 用 分 布 式 组 网 对 受 
控 组 播 业务 进行 认证 。 如 果 采 用 集中 式 组 网 将 受 控 组 播 认证 设备 端 放 在 汇聚 设备 上 ， 从 组 播 
服务 器 下 行 的 流 在 到 达 汇 聚 设备 之 后 ， 由 于 认证 系统 还 下 挂 接 入 层 设 备 ， 将 无 法 区 分 最 终 用 
户 ， 硅 打开 该 受 控 端口 ， 则 汇聚 层 端口 以 下 的 所 有 用 户 都 能 够 访问 到 受 控 组 播 消息 源 。 反 
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之 ,如果 采用 分 布 式 组 网 ， 则 从 组 播 服务 器 来 的 组 播 流 到 达 接 入 层 认证 系统 ， 可 以 实现 组 播 
成 员 的 精确 粒度 控制 。 

3. 802. 1x 本 地 认证 组 网 

802. 1x 的 AAA 认证 可 以 在 本 地 进行 ， 而 不 用 到 远 端 认 证 服务 器 上 去 认证 。 这 种 本 地 认 
证 的 组 网 方式 在 专线 用 户 或 小 规模 应 用 环境 中 非常 适用 。 它 的 优点 在 于 节约 成 本 ， 不 需要 音 
独 购置 昂贵 的 服务 器 ， 但 随 着 用 户 数目 的 增加 ， 还 需要 由 本 地 认证 向 RADIUS 认证 迁移 。 


7.4.5 802. 1x 认证 的 特点 


802. 1x 认证 系统 提供 了 一 种 用 户 接 入 认证 的 手段 ， 它 仅 关 注 端 口 的 打开 与 关闭 。 对 于 
合法 用 户 (根据 账号 和 密码 ) 接 入 时 ,该 端口 打开 ， 而 对 于 非法 用 户 接 入 或 没有 用 户 接 入 
时 ， 则 使 端口 处 于 关闭 状态 。 认 证 的 结果 在 于 端口 状态 的 改变 ， 而 不 涉及 其 他 认证 技术 所 考 
虑 的 IP 地 址 协商 和 分 配 问题 ， 是 各 种 认证 技术 中 最 为 简化 的 实现 方案 。 

必须 注意 到 802. 1x 认证 技术 的 操作 颗粒 度 为 端口 ， 合 法 用 户 接 和 人 端口 之 后 ， 端 口 始终 
处 于 打开 状态 ， 此 时 其 他 用 户 (合法 或 非法 ) 通过 该 端口 接 入 时 ， 不 需 认 证 即 可 访问 网 络 
资源 。 对 于 无 线 局 域 网 接 入 而 言 ， 认 证 之 后 建立 起 来 的 信道 (端口 ) 被 独占 ， 不 存在 其 他 
用 户 非 法 使 用 的 问题 。 但 如 果 802. 1x 认证 技术 应 用 于 宽带 IP 城 域 网 ， 就 存在 端口 打开 之 
后 ， 其 他 用 户 (合法 或 非法 ) 可 自由 地 接 入 且 难 以 控制 的 问题 。 因 此 ， 在 提出 可 运营 、 可 
管理 要 求 的 宽带 IP 城 域 网 中 如 何 使 用 该 认证 技术 ， 还 需要 谨慎 分 析 所 适用 的 场合 ， 并 考虑 
与 其 他 信息 绑 定 组 合 认 证 的 可 能 性 。 


7.4.6 认证 技术 应 用 实例 


对 于 高 校园 区 网 络 ， 安 全 性 问题 不 仅 来 自 外 部 网 络 ， 更 主要 的 威胁 还 是 来 自 内 部 网 络 ， 
很 多 来 自学 生出 于 好 奇 心 或 其 他 心理 而 采取 的 网 络 地 址 盗用 、 网 络 攻击 等 方式 无 疑 是 网 络 系 
统 中 的 一 个 隐患 ， 如 何 有 效 地 设计 安全 接 入 和 灵活 计 费 方案 是 一 个 很 重要 的 问题 。 

在 校园 三 层 网 络 架 构 的 基础 上 ，802. 1x 与 RADIUS 主要 用 于 校园 网 用 户 安 全 认证 与 计 
费 系统 上 。 目 前 一 些 主流 的 网 络 安全 产品 和 计 费 系统 都 开发 了 支持 802. 1x 的 认证 系统 ， 近 
年 来 各 网 络 设备 厂商 生产 的 主流 交换 机 在 物理 硬件 上 都 支持 802. 1x 协议 。 

通过 对 接 入 层 设备 后 台 计 费 服务 器 的 RADIUS 认证 进行 配置 ， 可 以 简单 实现 校园 网 上 的 
802. 1x 认证 功能 ， 以 下 通过 锐 捷 网 络 的 一 个 认证 计 费 应 用 实例 具体 说 明 如 何 通 过 802. 1x 配 
置 及 后 人 台 RADIUS 配置 来 实现 安全 接 入 和 计 费 ， 如 图 7-8 所 示 。 采 用 锐 捷 安 全 接 入 和 灵活 计 
费 (802. 1x) 方案 具有 以 下 优点 : 

1) 一 次 同时 认证 用 户 名 、IP、MAC。 

在 802. 1x 认证 时 ， 客 户 端 同时 提交 用 户 名 、IP、MAC,， 一 次 认证 即 同 时 完成 用 户 名 、 
IP、MAC 三 者 的 认证 。 这 样 ， 其 他 用 户 瓷 取 用 户 账号 或 他 或 MAC 或 三 者 中 任意 两 者 都 无 法 
假冒 真正 用 户 。 更 重要 的 是 ， 这 些 都 只 需 简 单 地 在 RADIUS 服务 器 上 设置 单一 的 表格 即 可 实 
现 基于 全 宿舍 网 甚至 全 校 的 接 人 控制 认证 。 

2) 分 布 式 认证 方式 ， 防 止 出 现 单一 故障 点 。 

各 接 入 交换 机 (如 S2024 堆 释 系列 交换 机 、S1924G + 人 + 接 入 交换 机 等 ) 直接 完成 接 
入 认证 ,不 容易 出 现 单 点 故障 ; 同时 ， 还 可 提高 认证 效率 。 
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图 7-8 802. 1x + RADIUS 认证 计 费 





3) 认证 流 和 业务 流 实现 分 离 ， 实 现 高 效 的 认证 ， 防 止 出 现 用 户 无 法 认证 的 情况 。 

802. 1x 认证 协议 的 核心 设计 思想 是 交换 和 控制 的 分 离 ， 认 证 流 和 业务 流 的 分 离 。 通 
过 端口 (可 以 是 交换 机 的 物理 端口 ， 用 户 PC 的 MAC 地 址 ， 也 可 以 是 VLAN ID) 的 两 个 
逻辑 通道 ( 非 受 控 端口 和 受 控 端口 ) 来 实现 对 用 户 的 控制 。 非 受 控 端 口 始终 关闭 ， 只 人 允 
许 认证 流 上 来 ; 受 控 端 口 走 业 务 流 ， 始 终 打开 ， 只 有 通过 认证 才能 关闭 ， 用 户 的 业务 才 
能 上 来 。 

当 用 户 认 证 流 上 来 后 ， 通 过 非 受 探 端口 进入 交换 机 ， 由 交换 机 协议 体系 提取 用 户 名 和 密 
码 对 用 户 身 份 进行 认证 ; 当 用 户 通 过 认证 后 ， 受 控 端口 关闭 ， 用 户 的 业务 流 可 以 上 行 。 这 一 
点 类 似 于 罕 带 交换 网 的 7 号 信 令 系统 ， 控 制 信 令 和 语音 数据 的 分 离 。 基 于 交换 与 控制 分 离 的 
设计 思路 ，802. 1x 认证 协议 实现 起 来 简单 、 高 效 ， 认 证 的 容量 很 大 ， 可 以 保证 用 户 能 及 时 
通过 认证 ,在 网 络 流量 大 ， 认 证 用 户 数 多 时 不 会 对 设备 的 性 能 产生 影响 ， 保 证 整个 网 络 高 
效 、 稳 定 的 运行 。 

4) 灵活 扩展 计 费 功能 。 

通过 RADIUS 服务 器 ，802. 1x 完全 文 持 计 费 功能 。 同 时 ， 文 持 对 用 户 离线 信息 的 检测 ， 
对 于 后 续 开 展 基 于 按时 计 费 的 增值 服务 有 利 。 当 用 户 因 计算 机 死机 或 异常 关闭 造成 非 主动 下 
线 ， 如 果 没 有 一 种 定期 检测 用 户 是 否 在 线 的 机 制 ， 则 会 造成 按时 计 费 信息 的 不 准 。802. 1x 
认证 设置 了 对 用 户 离线 的 检测 机 制 ， 定 期 会 由 认证 系统 对 在 线 用 户 进 行 一 次 握手 ， 如 果 用 户 
仍 在 线 ， 则 其 客户 端 会 响应 认证 系统 的 检测 请 求 ; 如 果 用 户 不 在 线 ， 则 其 客户 端 不 会 响应 认 
证 系统 的 检测 请 求 ， 在 三 次 握手 不 成 功 后 ， 就 会 中 止 计 费 信息 。 同 时 ， 由 于 用 户 名 /密码 跟 
特定 用 户 的 卫 、MAC 捆绑 ， 用 户 无 需 担 心 用 户 名 /密码 泄露 引起 不 必要 的 麻烦 。 
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7.5 网 络 管理 平台 案例 介绍 


国内 外 知名 的 网 络 设备 厂商 和 一 些 软 件 开 发 商 ， 相 继 开 发 了 一 些 网 络 管理 系统 ， 如 
SiteView、HP OpenView、CiscoWorks 网 络 管理 软件 、 锐 捷 SAM 系统 、H3C 一 体 化 智能 管理 
平台 等 。 本 节选 择 H3C iMC 作为 专业 网 络 管理 平台 软件 进行 介绍 ， 可 以 从 中 学 习 到 如 何 利 
用 专业 的 网 络 管理 平台 进行 网 络 管理 的 一 些 经验 。 

H3C 有 线 无 线 一 体 化 智能 管理 平台 iMC 介绍 

H3C 提供 包括 网 络 管理 、 用 户 管理 、 业 务 管理 等 全 面 的 管理 解决 方案 : H3C 智能 管理 
中 心 (H3C Intelligent Management Center, H3C iMC ) 。 

H3C iMC 是 H3C IToIP 解决 方案 的 统一 管理 中 心 ， 基 于 SOA 架构 ， 采 用 灵活 的 组 件 化 
结构 ， 文 持 与 HP Openview、SNMPe 等 通用 网 管 平 台 的 集成 ， 文 持 集成 各 厂家 设备 管理 系 
统 ， 与 H3C 的 数据 通信 设备 产品 一 起 为 用 户 提供 全 网 解决 方案 ， 帮 助 客户 真正 实现 网 络 的 
按 需 构建 。 

H3C iMC 作为 ITolP 解决 方案 核心 管理 系统 ， 为 用 户 提供 了 灵活 的 组 件 化 结构 ， 包 括 智 
能 管理 平台 、 智 能 配置 中 心 (iCC) 、ACL 管理 、MPLS VPN 管理 、 用 户 接 入 管理 、EAD 解 
决 方案 、 无 线 管理 、EPON 管理 等 业务 组 件 ， 用 户 可 以 根据 自己 的 管理 需要 和 网 络 情况 灵活 
选择 需要 的 组 件 ， 真 正 实现 “ 按 需 建构 ”"。H3C iMC 解决 方案 架构 如 图 7-9 所 示 。 
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图 7-9 H3C iMC 解决 方案 架构 


由 图 7-9 可 以 看 出 H3C iMC 管理 系统 由 智能 管理 平台 以 及 各 个 业务 组 件 组 成 ， 管 理 平台 
提供 网 络 管理 的 一 些 基 础 功能 ， 比 如 故障 管理 、 性 能 管理 、 资 源 和 拓扑 管理 、 用 户 管理 等 ， 
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而 业务 组 件 提供 了 相应 的 业务 管理 功能 ; 各 个 业务 组 件 相 对 独立 ， 并 可 以 无 颖 的 集成 在 管理 
平台 中 ， 使 得 整个 系统 具有 很 强 的 可 扩展 性 。 

H3C iMC 智能 管理 平台 实现 网 络 资源 、 用 户 和 业务 的 融合 管理 ， 提 供 基 本 的 网 络 资源 
管理 、 拓 扑 管理 、 故 障 管理 、 性 能 管理 、 用 户 管 理 及 系统 安全 管理 ， 基 于 B/S 架构 ， 可 以 
与 H3C iMC 其 他 业务 组 件 有 效 集成 ， 形 成 多 种 解决 方案 。H3C iMC 智能 管理 平台 不 仅 可 以 
实现 H3C 全 线 数据 通信 产品 的 管理 ， 也 可 通过 标准 MIB 实现 对 Cisco 等 各 主流 厂商 的 数据 
通信 设备 的 管理 。 

(1) 系统 安全 管理 

系统 安全 管理 功能 主要 包括 : 操作 日 志 管 理 、 操 作 员 管 理 、 分 组 分 级 与 权限 管理 、 操 作 
员 登 录 管 理 等 。 

(2) 资源 管理 

iMC 资源 管理 与 拓扑 管理 作为 整体 共同 为 用 户 提供 网 络 资源 的 管理 。 通 过 资源 管理 : 网 
络 自动 发 现 可 以 通过 设置 种 子 的 简易 方式 、 路 由 方式 、ARP 方式 、IPSec VPN 、 网 段 方式 五 
种 自动 发 现 方式 自学 习 网 络 资源 及 网 络 拓扑 ， 自 动 识别 包括 路 由 器 、 交 换 机 、 安 全 网 关 、 存 
储 设 备 、 监 控 设 备 、 无 线 设备 、 语 音 设备 、 打 印 机 、UPS、 服 务 器 、PC 在 内 的 多 种 类 型 的 
网 络 设 备 。 支 持 网 络 设备 手工 管理 、 网 络 视图 管理 、 设 备 的 管理 、 分 组 权限 管理 、 设 备 及 业 
务 管理 系统 的 集成 等 。 

(3) 拓扑 管理 

拓扑 管理 直观 地 提供 给 用 户 对 整个 网 络 及 网 络 设备 资源 的 管理 。 拓 扑 管理 包括 : 

1) 拓扑 自动 发 现 : H3C iMC 可 以 自动 发 现 网 络 拓扑 结构 ， 支 持 全 网 设备 的 统一 拓扑 视 
图 ， 通 过 视图 导航 树 提供 视图 间 的 快速 导航 。 通 过 自动 发 现 可 以 发 现 网 络 中 的 所 有 设备 及 网 
络 结构 (具体 参见 资源 管理 )， 并 且 可 以 发 现 非 SNMP 设备 ， 只 要 设备 可 以 ping 通 即 可 。 这 
样 就 可 以 将 所 有 网 络 设备 都 列 和 人 其 管理 范围 〈 只 要 设备 IP 可 达 )。 同 时 支持 自动 的 拓扑 图 
呈现 和 自 定 义 拓扑 。 自 动 拓 扑 可 以 自动 将 网 络 中 的 逻辑 连接 关系 显示 出 来 ， 同 时 可 以 保存 为 
自 定义 拓扑 图 并 可 根据 具体 情况 进行 修改 以 便于 网 管 员 对 整个 网 络 设备 的 监控 。 

支持 对 全 网 设备 的 连接 定时 轮 询 和 状态 刷新 ， 实 时 了 解 整个 网 络 的 运行 情况 ， 并 且 刷 新 
周期 可 定制 〈 刷 新 周期 : 60 ~7200s) ， 同 时 也 支持 对 多 个 设备 的 刷新 周期 进行 批量 配置 。 

2) 支持 自 定 义 拓 扑 : H3C iMC 的 拓扑 功能 支持 灵活 的 自 定 义 功 能 ， 管理 人 员 可 以 根据 
网 络 的 实际 组 网 情况 和 设备 重要 性 的 不 同 灵 活 定制 网 络 拓扑 ， 可 对 拓扑 图 进行 增 、 删 、 改 等 
编辑 操作 ， 使 网 络 拓扑 能 够 清晰 地 呈现 整个 校园 网 的 网 络 结构 以 及 IT 资源 分 布 。 

3) 自动 识别 各 种 网 络 设备 和 主机 的 类 型 : H3C iMC 可 以 自动 识别 H3C 、Cisco 等 厂商 
的 设备 ，Windows 、Solaris 的 PC 和 工作 站 ， 其 他 SNMP 设备 和 ping 设备 ， 并 且 以 树 形 方 式 
组 织 ， 以 不 同 的 图 标 显 示 区 分 。 在 拓扑 图 上 更 可 进一步 对 设备 的 类 型 进行 区 分 ， 如 区 分 路 由 
器 、 交 换 机 、 安 全 网 关 、 存 储 设 备 、 监 控 设 备 、 无 线 设 备 、 语 音 设 备 、 打 印 机 、UPS、 服 务 
储 志 PRC 等。 

4) 设备 状态 、 连 接 状态 、 告 警 状态 等 信息 在 拓扑 图 上 可 以 直观 地 显示 出 来 。H3C iMC 
的 拓扑 功能 与 故障 管理 和 性 能 管理 紧密 融合 ， 使 拓扑 图 能 够 清晰 地 看 到 北 建 工 IT 资源 的 状 
态 ， 包 括 运行 是 否 正常 、 网 络 带 宽 、 接 口 连通 、 配 置 变化 都 能 一 目 了 然 。 多 种 颜色 区 分 不 同 
级 别 的 故障 ， 根 据 节 点 图 标 颜色 反映 设备 状态 。 
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H3C iMC 网 络 拓 扑 显 示 图 如 图 7-10 所 示 。 
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图 7-10”H3C iMC 网 络 拓扑 显示 图 


5) 拓扑 能 提供 设备 管理 的 便捷 入 口 。H3C iMC 拓扑 能 够 提供 对 设备 管理 的 便捷 入 口 ， 
管理 员 只 需 通过 右键 点 击 拓扑 图 中 的 设备 图 标 即 可 启动 设备 管理 功能 ， 实 现 对 设备 的 面板 管 
理 等 各 项 功能 配置 。 

(4) 故障 〈 告 警 / 事 件 ) 管理 

故障 管理 ， 即 告警 /事件 管理 ， 是 H3C iMC 的 核心 模块 ， 是 iMC 智能 管理 平台 及 其 他 业 
务 组 件 统一 的 告警 中 心 。iMC 告警 中 心 可 以 接收 各 种 告警 源 的 告警 事件 ， 包 括 设备 告 警 、 本 
级 网 管 站 及 下 级 网 管 站 告警 、 网 络 性 能 监视 告警 、 网 络 配置 监视 告警 、 网 络 流量 异常 监视 告 
警 、 终 端 安全 有 异常 告警 等 ; 同时 通过 文 持 对 设备 的 定时 轮 询 ， 实 现 通 断 告警 、 啊 应 时 间 告 警 
等 ， 以 告警 事件 的 方式 上 报 给 H3C iMC 告警 中 心 。 

iMC 告警 中 心 根据 告警 脚本 中 的 告警 事件 定义 ， 接 收 并 解析 上 报 的 告警 事件 。H3C iMC 
对 接收 到 的 告警 事件 进行 深度 关联 分 析 ， 系 统 默认 文 持 重复 事件 阔 值 告警 、 闪 断 事件 半 值 告 
和 警 、 未 知事 件 国 值 告 警 、 未 管理 设备 告警 国 值 告警 ， 并 能 在 故障 恢复 时 自动 确认 相关 告警 。 
同时 用 户 可 以 根据 自己 的 需要 确定 事件 的 告警 规则 ， 以 适应 网 络 管理 的 需要 。 

H3C iMC 提供 告警 知识 库 。 告 警 知 识 是 用 户 在 维护 过 程 中 的 经 验 总 结 ， 将 这 些 经 验 输 
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入 系统 ， 下 次 再 出 现 同 样 的 故障 时 ， 可 以 作为 参考 。 用 户 选 中 一 条 告警 记录 ， 系 统 根据 用 户 
选中 的 告警 记录 ， 从 告警 知识 库 中 查询 出 该 条 告警 记录 的 维护 经 验 ， 供 用 户 进 行 告警 处 理 时 
参考 。 用 户 将 自己 的 日 常 处 理 经 验 以 及 业务 信息 及 时 写 和 数据库， 更 新 告警 知识 库 对 以 后 的 
故障 诊断 与 排除 非常 有 益 。 

(5) 性 能 管理 

H3C iMC 网 管 系统 提供 丰富 的 性 能 管理 功能 ， 同 时 以 直观 的 方式 显示 给 用 户 。 例 如 : 
可 以 提供 折线 图 、 方 图 、 饼 图 等 多 种 显示 方式 并 能 生成 相应 的 报表 。 通 过 性 能 任务 的 配置 ， 
可 自动 获得 网 络 的 各 种 当前 性 能 数据 ， 并 支持 设置 性 能 的 闵 值 ， 当 性 能 超过 羡 值 时 ， 网 络 以 
告警 的 方式 通知 告警 中 心 : 

1) 支持 At a Glance 、TopN 功能 ， 用 户 能 够 对 CPU 利用 率 、 流 量 等 关键 指标 一 目 了 然 。 

2) 提供 各 类 常用 性 能 指标 的 默认 采集 模板 ; 支持 实时 性 能 监视 ， 支持 二 级 阔 值 告警 设 
置 ， 当 链 路 或 端口 的 流量 超过 阔 值 ， 系 统 将 会 发 送 性 能 告警 ， 使 网 络 管理 人 员 能 够 及 时 发 现 
网 络 中 的 隐患 ， 及 时 消除 隐患 。 同 时 为 故障 定位 提供 手段 。 

3) 提供 基于 历史 数据 的 分 析 ， 为 用 户 扩容 网 络 、 及 早 发 现 网 络 隐患 提供 保障 。 

4) 支持 饼 图 、 折 线 图 、 曲 线 图 等 多 种 图 形 方式 ， 直 观 地 反映 性 能 指标 的 变化 趋势 ; 提 
供 灵活 地 组 合 条 件 统计 和 查询 ; 性 能 报表 支持 导出 Html 、Txt、Excel 、Pdf 格式 文件 。 

(6) 设备 管理 组 件 

H3C iMC 支持 对 H3C 全 系列 IP 产品 进行 设备 管理 ， 提 供 丰 富 的 管理 功能 。 通 过 面板 管 
理 ， 网 络 管理 人 员 可 以 直观 地 看 到 设备 、 板 卡 、 端 口 的 工作 状态 ， 通 过 设备 信息 浏览 监视 ， 
管理 人 员 可 以 了 解 设 备 的 运行 情况 ， 实 时 监视 CPU 利用 率 、 端 口 利 用 率 等 重要 信息 。 同 时 ， 
H3C iMC 提供 图 形 化 的 配置 方式 ， 使 设备 功能 配置 不 再 复杂 。H3C iMC 向 用 户 提 供 了 完善 
的 网 元 管理 功能 ， 通 过 通 真 的 面板 图 片 ， 直 观 地 反映 了 设备 运行 情况 。 

1) 通过 面板 图 标 直观 地 反映 设备 的 框 、 架 、 槽 、 卡 、 风 扇 、CPU 、 端 口 等 关键 部 件 的 
运行 状态 。 

2) 能 够 查看 、 设 置 设 备 端口 状态 。 

3) 能 够 查看 路 由 、VLAN 等 配置 信息 。 

4) 能 够 查看 端口 流量 、 丢 包 率 、 错 包 率 等 关键 统计 数据 。 

5) 支持 对 H3C 交换 机 堆 鲜 能 力 的 管理 。 

6) 通过 Ping、Traceroute 等 功能 测试 当前 网 络 链 路 的 健康 状况 。 

7) 支持 从 设备 列表 、 设 备 详 细 信息 、 拓 扑 等 多 个 人 口 打 开设 备 面板 。 

H3C iMC 网 络 设备 管理 面板 如 图 7-11 所 示 。 

(7) 无 线 管理 组 件 

H3C iMC 无 线 业 务 管理 组 件 (以 下 简称 为 WSM 组 件 ) 依托 iMC 智能 管理 平台 ， 实 现 有 
线 无 线 一 体 化 的 管理 。 用 户 可 以 获得 全 面 的 无 线 业 务 管理 能 力 ， 实 现 AC、Fat AP、Fit AP、 
移动 终端 等 无 线 设 备 的 集中 管理 ， 轻 松 实现 设备 配置 管理 功能 ， 并 提供 无 线 拓扑 、AP 设备 
物理 位 置 拓扑 等 多 种 拓扑 功能 ， 对 全 网 无 线 设 备 进行 直观 有 效 地 组 织 ， 对 网 络 部 署 和 设备 状 
态 一 目 了 然 ， 策 略 模板 等 功能 实现 网 络 和 设备 的 批量 配置 ， 提 升 了 效率 ， 降 低 了 维护 成 本 。 
基于 Web 的 管理 系统 ， 为 无 线 业 务 管 理 者 提供 了 简便 、 友 好 的 管理 平台 。 
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面板 操作 导航 


图 7-11 H3C iMC 网 络 设备 管理 面板 


7.6 计 费 管理 


7.6.1 校园 网 计 费 管理 的 功能 


校园 网 计 费 是 一 个 基本 的 需求 ， 其 计 费 方案 是 随 着 管理 理念 的 不 断 深入 而 逐渐 完善 。 早 
期 的 校园 网 计 费 采用 计 费 网 关 的 形式 ， 这 对 小 型 网 比较 合适 。 但 是 计 费 网 关 最 大 的 问题 是 处 
理性 能 会 成 为 网 络 应 用 的 瓶 贷 。 同 时 随 着 技术 的 进步 ， 交 换 机 的 处 理 能 力 越 来 越 强 ， 出 现 了 
分 布 式 的 网 络 计 费 。 其 中 又 以 基于 802. 1x 认证 技术 的 计 费 方案 最 为 流行 。 本 文 将 提供 完整 
的 校园 网 计 费 方案 。 

丰富 的 认证 、 计 费 、 控 制 策略 提高 了 网 络 管理 效率 ， 实 现 以 网 养 网 。 

1. 准确 的 用 户 身份 确认 

校园 网 计 费 用 户 分 为 两 类 ， 一 类 是 不 计 费 ， 男 一 类 是 计 费 。 但 是 无 论 是 计 费 还 是 不 计 
费 ， 我 们 都 需要 对 其 身份 进行 准确 的 识别 。 这 是 网 络 安全 的 需要 ， 同 时 也 是 做 到 准确 计 费 的 
需要 。 但 是 如 何 进 行 用 户 身 份 确认 呢 ? 这 就 需要 通过 认证 技术 来 实现 。 目 前 认证 技术 有 许 
多 ,如 WEB 认证 、802. 1x 认证 、PPPOE 认证 。 这 些 认证 技术 各 有 千秋 ，PPPOE 技术 被 广泛 
地 应 用 在 宽 夷 小 区 ，WEB 认证 被 应 用 在 一 些 信息 系统 内 ， 而 802. 1x 认证 被 应 用 在 广大 的 校 
园 内 。 这 是 因为 802. 1x 认证 最 大 的 特点 是 简单 ， 无 需 特殊 的 设备 支持 ， 同 时 支持 任何 网 络 
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应 用 。 
2. 灵活 的 计 费 策略 
计 费 策略 主要 有 三 种 : 按时 长 、 按 流量 和 按 带 宽 。 从 实际 情况 看 ， 时 长 计 费 最 普遍 ， 流 
量 计 费 最 科学 ， 和 市 宽 计 费 最 简单 。 同 时 由 于 一 个 校园 网 的 用 户 有 许多 类 ， 因 此 可 能 这 三 种 计 
费 策略 都 会 被 采用 。 但 是 ， 新 建 和 改建 的 校园 网 往往 采用 可 操作 性 强 、 简 单 的 按时 长 计 费 的 
方式 ， 并 且 配 合 预付 费 的 方式 进行 收费 ， 杜 绝 了 恶意 从 费 的 发 生 。 

3. 精确 的 费用 统计 

网 络 使 用 一 旦 收费 ， 那 么 就 需要 我 们 能 够 精确 地 计 费 ， 这 是 一 个 可 运营 的 网 络 必 备 的 条 
件 。 其 中 最 需要 关注 的 是 是 非 否 会 因 PC 死机 等 异常 情况 造成 计 费 不 准确 。 因 此 我 们 需要 一 
套 保 护 机 制 来 做 到 无 论 采 用 哪 种 计 费 策略 ， 发 生 什 么 异常 都 能 保证 计 费 准确 。 

4. 人 性 化 的 网 络 计 费 

无 论 采 用 什么 技术 和 方法 都 需要 一 套 计 费 系统 来 完成 计 费 。 那 么 什么 是 好 的 计 费 系统 























呢 ? 除了 做 到 以 上 三 点 之 外 还 需 提 供 人 性 化 的 解决 方案 ， 能 够 通过 优化 来 降低 管理 者 的 工作 
强度 ， 提 供 自动 化 方案 ， 同 时 对 于 用 户 来 说 又 能 使 其 感觉 使 用 方便 ， 收 费 合 理 。 


7.6.2 校园 网 计 费 系统 案例 介绍 


本 节 我 们 介绍 一 款 由 杭州 深 澜 软 件 开发 的 计 费 认证 系统 (Srun 3000) ， 该 系统 在 高 校 等 
行业 得 到 了 广泛 的 应 用 ， 其 网 络 用 户 部 署 图 如 图 7-12 所 示 。Srun 3000 安全 认证 网 络 管理 计 
费 系统 是 一 套 以 实现 网 络 运营 为 基础 ， 以 增强 全 局 安全 为 中 心 ， 以 提高 管理 效率 为 目的 的 第 
三 代 网 络 安全 运营 管理 系统 。Srun 3000 是 一 套 基 于 标准 的 RADIUS 协议 开发 的 宽带 认证 计 
费 管理 系统 。 它 不 仅 支 持 PPPOE 和 网 关 的 认证 计 费 方式 ， 还 支持 所 有 的 802. 1X 接 入 控制 技 
术 ， 支持 与 其 他 厂商 相应 标准 的 产品 兼容 ， 支 持 华 为 、Juniper、 中 兴 等 厂商 的 BRAS 设备 ， 
也 支持 D - Link、 思 科 、H3C、 华 为 、3Com、LINKSYS、 中 兴 、 锐 捷 网 络 、 惠 普 、 神 州 数 
人 码 、 北 电网 络 、Juniper 等 厂商 的 交换 机 ， 并 能 够 提供 更 加 丰富 的 功能 。Srun 3000 在 硬件 设 
备 有 限 投 入 的 情况 下 提供 最 安全 、 最 稳定 
的 部 署 解决 方案 ， 同 时 以 其 基于 身份 管理 oe 
为 核心 的 多 种 计 费 组 合 模式 为 用 户 提 供 无 
限 可 能 的 运营 管理 方案 ; 另外 ， 以 好 用 、 
易 用 为 原则 ， 通 过 B/S 架构 访问 形式 的 友 
好 界面 ， 为 用 户 提供 贴心 的 使 用 形式 。 























作为 校园 网 用 户 ， 由 于 万 兆 网 络 、 双 让 遇 证 天 HsA 
干 兆 接 入 、IPv6 等 新 技术 的 应 用 ， 并 具有 = 


用 户 量 大 、 业 务 众 多 、 数 据 流量 巨大 等 特 
点 ， 往 往 要求 认 证 计 费 系统 必须 具有 非常 


高 的 性 能 。Srun 3000 在 设计 中 充分 考虑 到 el [A 3 
性 能 上 的 要 求 ， 使 用 内 存 优化 技术 ， 采 用 De De led 
复杂 的 多 线程 、 分 布 式 等 设计 技术 ; 采用 国王 教师 实验 室 等 
优化 的 数据 库 结构 、 算 法 设计 ， 提 高 了 系 

统 的 运算 速度 ， 可 以 达到 1220 次 /s 的 RA- 图 7-12 茶 高 校 网 络 用 户 部 署 图 
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DIUS 认证 性 能 ， 用 户 上 网 认证 时 间 不 超过 0. 5s。 


7.7 校园 网 安全 管理 技术 


7.7.1 校园 网 常见 的 安全 风险 


校园 网 是 一 个 开放 的 网 络 环境 ， 随 着 网 络 的 普及 ， 还 有 庞大 、 活 路 的 学 生 用 户 群 ;校园 
网 应 用 系统 较 多 ， 部 署 了 大 量 的 服务 器 ， 还 有 大 量 的 个 人 计算 机 接 和 网络 ; 校园 网 也 接 人 了 
CERNET 等 因特网 。 高 校 校园 网 安全 问题 很 突出 ， 安 全 管理 问题 也 非常 复杂 。 

1) 校园 网 规模 大 ， 高 带宽 接 和 因特网。 高校 校园 网 是 最 早 的 宽带 网 络 ， 各 学 校 除 接 和 人 
CERNET 外 ， 还 具有 少 则 几 十 兆 其 至 几 个 G 的 公 网 出 口 。 目 前 在 校园 网 中 普遍 使 用 了 百 兆 
到 桌面 、 千 兆 甚 至 万 兆 实 现 园 区 主干 互联 。 校 园 网 的 用 户 群 体 一 般 也 比较 大 ， 少 则 数 千 人 ， 
多 则 数 万 人 ,一般 部 建 有 学 生 宿舍 网 ， 用 户 群 比较 密集 。 正 是 由 于 高 带宽 和 大 用 户 量 的 特 
上 态 ， 网 络 安 全 问题 一 般 芝 延 快 、 对 网 络 的 影响 比较 严重 。 

2) 活跃 的 用 户 群 体 。 大 学 生 通 常 是 最 活跃 的 网 络 用 户 ， 对 网 络 新 技术 充满 好 奇 ， 勇 于 
尝试 。 如 果 没 有 意识 到 后 果 的 严重 性 ， 有 些 学 生 会 尝试 使 用 网 上 学 到 的 、 其 至 自己 研究 的 各 
种 攻击 技术 ， 可 能 对 网 络 造成 一 定 的 影响 和 破坏 。 

3) 开放 的 网 络 环境 。 由 于 教学 和 科研 的 特点 决定 了 校园 网 络 环境 应 该 是 开放 的 ， 管 理 
也 是 较为 宽松 的 。 比 如 ， 企 业 网 可 以 限制 允许 Web 浏览 和 电子 邮件 的 流量 ， 甚 至 限制 外 部 
发 起 的 连接 不 允许 进入 防火 墙 , 但 是 这 在 校园 网 环境 下 通常 是 行 不 通 的 ， 至 少 在 校园 网 的 主 
干 不 能 实施 过 多 的 限制 ， 否 则 一 些 新 的 应 用 、 新 的 技术 很 难 在 校园 网 内 部 实施 。 

4) 有 限 的 投入 。 校 园 网 的 建设 和 管理 通常 都 轻视 了 网 络 安全 ， 特 别 是 管理 和 维护 人 员 
方面 的 投入 明显 不 足 。 在 中 国 大 多 数 的 校园 网 中 ,通常 只 有 网 络 中 心 的 少数 工作 人 员 ， 他 们 
只 能 维护 网 络 的 正常 运行 ， 无暇 顾及 、 也 没有 条 件 管理 和 维护 数 万 台 计 算 机 的 安全 ， 院 、 系 
一 级 并 没有 专职 的 计算 机 系统 管理 员 。 

5) 盗版 资源 泛滥 。 由 于 缺乏 版 权 意 识 ， 盗 版 软件 、 影 视 资源 在 校园 网 中 普遍 使 用 ， 这 
些 软件 的 传播 一 方面 占用 了 大 量 的 网 络 带宽 ， 兄 一 方面 也 给 网 络 安全 带 来 了 一 定 的 隐患 。 比 
如 ，Microsoft 公司 对 盗版 的 XP 操作 系统 的 更 新 做 了 限制 ， 安 装 盗版 操作 系统 的 计算 机 系统 
今后 会 留 下 大 量 的 安全 漏洞 。 另 一 方面 ， 从 网 络 上 随意 下 载 的 软件 中 可 能 隐藏 着 木马 、 后 门 
等 恶意 代码 ， 许 多 系统 因此 被 攻击 者 侵入 和 利用 。 

以 上 各 种 原因 导致 校园 网 既是 大 量 攻击 的 发 源 地 ， 也 是 攻击 者 最 容易 攻破 的 目标 。 因 
此 ， 当 前 校园 网 常见 的 风险 如 下 : 

1) 普遍 存在 的 计算 机 系统 的 漏洞 ， 对 信息 安全 、 系 统 的 使 用 、 网 络 的 运行 构成 严重 的 
威胁 。 

2) 计算 机 里 虫 等 病毒 泛滥 ， 影 响 用 户 的 使 用 、 信 息 安 全 、 网 络 运行 。 

3) 外 来 的 系统 入 侵 、 攻 击 等 恶意 破坏 行为 ， 有 些 计 算 机 已 经 被 攻破 ， 用 作 黑 客 攻击 的 
工具 ; 拒绝 服务 攻击 目前 越 来 越 普 遍 ， 不 少 攻击 开始 针对 重点 高 校 的 网 站 和 服务 器。 

4) 内 部 用 户 的 攻击 行为 ， 这 些 行为 给 校园 网 造成 了 不 良 的 影响 ， 损 害 了 学 校 的 声誉 。 

5) 校园 网 内 部 用 户 对 网 络 资源 的 滥用 ， 有 的 校园 网 用 户 利用 免费 的 校园 网 资源 提供 商 
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业 的 或 者 免费 的 视频 、 软 件 资源 下 载 ， 占 用 了 大 量 的 网 络 带宽 ， 影 响 了 校园 网 的 应 用 。 
6) 垃圾 邮件 、 不 良 信息 的 传播 ， 有 的 利用 校园 网 内 无 人 管理 的 服务 器 作为 中 转 ， 严 重 


影响 了 学 校 的 声誉 。 
7.7.2 校园 网 安全 防范 对 策 


俗话 说 ， 网 络 安全 三 分 技术 、 七 分 管理 ， 安 全 管理 贯穿 于 整个 安全 防范 体系 的 始终 。 实 
践 一 再 告诉 我 们 仅 有 安全 防范 技术 ， 而 无 严格 的 安全 管理 体系 相配 套 ， 是 难以 保障 网 络 系统 
的 安全 的 。 必 须 制订 一 系列 安全 管理 制度 ， 对 安全 技术 和 安全 设施 进行 管理 。 对 网 络 管理 人 
员 进 行 及 时 的 网 络 安全 理论 堵 训 、 安 全 技术 培训 、 安 全 产品 培训 以 及 本 部 业务 培训 ， 实 现 整 
个 网 络 的 安全 体系 。 所 以 ， 加 强 校 园 网 的 安全 管理 工作 需要 从 管理 和 技术 两 个 方面 综合 考 
虑 。 

1. 加 强 校园 网 安全 管理 政策 建设 

安全 政策 (Security Policy) 描述 校园 网 安全 的 目标 和 需求 ， 是 一 个 组 织 安 全 管理 的 需 
求 说 明 ， 它 是 执行 各 项 管理 制度 、 技 术 措 施 的 依据 ， 一 般 规定 “做 什么 ”而 不 是 “怎么 
做 ”， 告 诉 用 户 哪 些 行为 是 允许 的 、 哪 些 行为 是 不 允许 的 ， 违反 了 这 些 约 定 将 会 受到 怎样 的 
人 处罚。 目前 很 多 学 校 以 安全 管理 规定 、 安 全 条 例 、 安 全 管理 办 法 等 形式 发 布 。 一 个 可 行 的 安 
全 政策 应 该 根据 我 国 的 相关 法 律 、 法 规 以 及 学 校 的 管理 制度 和 具体 情况 制定 ， 不 存在 通用 
的 、 可 实施 的 安全 政 倘 。 安 全 政策 应 该 让 所 有 的 校园 网 用 户 知 道 ， 对 校园 网 用 户 ， 无 论 是 院 
系 单位 还 是 学 生 个 人 ， 都 可 以 以 签署 人 网 协议 的 形式 让 用 户 知道 学 校 的 安全 管理 政策 ， 一方 
面 起 到 提高 安全 意识 的 作用 ， 同 时 明确 责任 和 义务 ,便于 对 安全 事故 的 处 理 。 

加 强 网 络 安全 组 织 建设 。 目 前 普遍 认为 校园 网 安全 管理 工作 应 该 由 信息 网 络 中 心 承担 ， 
但 是 事实 上 ， 安 全 管理 工作 非常 复杂 ， 可 能 涉及 各 院 系 、 部 、 处 的 人 员 和 业务 ， 因 此 必须 由 
学 校 具 有 决策 权 的 机 构 和 领导 组 织 协调 各 部 门 的 管理 工作 。 学 校 可 以 成 立信 息 安 全 领导 小 
组 、 信 息 安 全 应 急 处 理 小 组 ， 并 由 相应 的 技术 人 员 成 立 技 术 小 组 ， 安 全 管理 各 项 措施 的 实 
施 ， 单 纯 依 靠 网 络 中 心 的 力量 也 是 不 充分 的 。 

由 于 校园 网 安全 与 人 的 安全 意识 和 技能 紧密 相关 ， 因 此 ， 对 校园 网 不 同类 型 用 户 进 行 安 
全 教育 ， 将 有 利于 校园 网 的 安全 应 用 。 首 先 ， 必 须 培养 一 文具 有 安全 管理 意识 的 网 络 队伍 。 
同时 ， 加 强 用 户 安全 意识 和 管理 员 安 全 技术 的 培训 工作 也 非常 重要 。 对 于 新 用 户 的 安全 意识 
的 培训 ， 新 生 和 人 学 教育 和 新 员工 上 岗 培 训 是 两 个 比较 好 的 形式 ， 也 可 以 开展 一 些 职工 的 在 职 
培训 、 学 生 的 文化 课 、 选 修 课 等 形式 的 安全 意识 培训 和 基本 技能 的 培训 。 对 于 系统 管理 员 ， 
一 定 要 重视 上 岗 培 训 。 很 多 学 校 院 系 服务 器 的 管理 员 都 是 由 助教 研究 生来 担任 的 ， 这 些 学 生 
没有 经 过 必要 的 培训 ， 容 易 留 下 大 量 的 安全 问题 。 对 于 这 些 岗 位 的 安全 培训 是 当前 校园 网 安 
全 管理 非常 重要 的 环 。 

2. 从 网 络 安全 管理 与 技术 上 防范 风险 

(1) 部 署 防火 墙 

防火 墙 是 网 络 安全 的 屏障 。 一 个 防火 墙 (作为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 
部 网 络 的 安全 性 ， 并 通过 过 滤 不 安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 
才能 通过 防火 墙 ， 所 以 网 络 环境 变 得 更 安全 。 在 防火 墙 设置 上 我 们 按照 以 下 原则 来 提高 网 络 
安全 性 : 
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1) 根据 校园 网 安全 策略 和 安全 目标 ， 规 划 设 置 正确 的 安全 过 滤 规 则 ， 规 则 审核 IP 数据 
包 的 内 容 包括 : 协议 、 端 口 、 源 地 址 、 目 的 地 址 、 流 向 等 项 目 ， 严 格 禁 止 来 自 公 网 对 校园 内 
部 网 不 必要 的 、 非 法 的 访问 。 总 体 上 遵从 “不 被 允许 的 服务 就 是 被 禁止 ”的 原则 。 

2) 将 防火 墙 配 置 成 过 滤 掉 以 内 部 网 络 地 址 进入 路 由 器 的 卫 包 ， 这 样 可 以 防范 源 地 址 假 
冒 和 源 路 由 类 型 的 攻击 ; 过 滤 掉 以 非法 卫 地 址 离开 内 部 网 络 的 卫 包 ， 防 止 内 部 网 络 发 起 的 
对 外 攻击 。 

3) 在 防火 墙 上 建立 内 网 计算 机 的 下 地 址 和 MAC 地 址 的 对 应 表 ， 防止 IP 地 址 被 盗用 。 

4) 在 局 域 网 的 人口 架设 千 兆 防火 墙 ， 并 实现 VPN 的 功能 ， 在 校园 网 络 人 口 处 建立 第 一 
层 的 安全 屏障 ，VPN 保证 了 管理 员 在 家 里 或 出 差 时 能 够 安全 接 人 数据 中 心 。 

5) 定期 查看 防火 墙 访 问 日 志 ， 及 时 发 现 攻击 行为 和 不 良 上 网 记录 。 

6) 人 允许 通过 配置 网 卡 对 防火 墙 进 行 设置 ， 提 高 防火 墙 管理 的 安全 性 。 

(2) 架设 入 侵 检测 系统 和 入 侵 防 御 系 统 

架设 一 个 人 侵 监 测 系统 (IDS) 是 非常 必要 的 ， 它 处 于 防火 墙 之 后 对 网 络 活动 进行 实时 
检测 。 许 多 情况 下 ， 由 于 可 以 记录 和 禁止 网 络 活动 ， 所 以 和 人 侵 监测 系统 是 防火 墙 的 延续 。 它 
们 可 以 和 防火 墙 和 路 由 器 配合 工作 。 

IDS 扫描 当前 网 络 的 活动 ， 监 视 和 记录 网 络 的 流量 ， 根 据 定义 好 的 规则 来 过 滤 从 主机 网 
卡 到 网 线 上 的 流量 ， 提 供 实 时 报警 。IDS 是 被 动 的 ， 它 监测 网 络 上 所 有 的 数据 包 。 其 目的 就 
是 捕捉 危险 或 有 恶意 动作 的 信息 包 。IDS 是 按 指 定 的 规则 运行 的 ， 记 录 是 庞大 的 ， 所 以 我 们 
必须 制定 合适 的 规则 对 它 进 行 正 确 的 配置 ， 如 果 IDS 没有 正确 的 配置 ， 其 效果 如 同 没 有 一 
样 。IDS 能 够 帮助 系统 对 付 网 络 攻击 ， 扩 展 了 系统 管理 员 的 安全 管理 能 力 (包括 安全 审计 、 
监视 、 攻 击 识别 和 响应 ) ， 提 高 了 信息 安全 基础 结构 的 完整 性 。 

在 架设 IDS 的 基础 上 ， 应 该 进一步 部 署 人 侵 防御 系统 (1IPS) 。IPS 对 那些 被 明确 判断 为 
攻击 的 行为 〈 会 对 网 络 、 数 据 造成 危害 的 恶意 行为 ) 进行 检测 和 防御 ， 降 低 或 是 减免 使 用 
者 对 异常 状况 的 处 理 资源 开销 ， 是 一 种 侧重 于 风险 控制 的 安全 产品 。 

(3) 加 强 内 网 信息 系统 安全 评 佑 

采用 先进 的 漏洞 扫描 系统 定期 对 工作 站 、 服 务 器 、 交 换 机 等 进行 安全 检查 ， 并 根据 检查 
结果 向 系统 管理 员 提 供 详细 可 人 靠 的 安全 性 分 析 报 告 ， 为 提高 网 络 安 全 整体 水 平 提供 重要 依 
据 。 

高 校 校园 网 是 一 个 由 多 协议 、 多 系统 、 多 应 用 、 多 用 户 组 成 的 复杂 性 网 络 环境 ， 校 园 网 
中 的 网 络 设备 、 操 作 系统 、 数 据 库 、 应 用 软件 都 存在 难以 避免 的 安全 漏洞 ， 为 了 要 保障 高 校 
校园 网 的 安全 ， 必 须 做 好 校园 网 漏洞 管理 。 

高 校 校园 网 服务 器 存储 大 量 信息 ， 例 如 教学 系统 服务 器 、 科 研 服务 器 、 人 事 、 学 生 管理 
服务 器 等 ， 对 服务 器 的 安全 需要 进行 全 面 的 管理 ， 如 : 访问 要 进行 安全 身份 认证 ， 非 认证 用 
户 无 法 进行 访问 ; 服务 器 需要 提供 资源 受 控 制 ， 防 止 非 授 权 人 员 复 制 、 修 改 、 发 送 ; 服务 器 
支持 远程 安全 管理 ， 校 园 网 管理 员 能 够 从 远程 进行 安全 登录 ， 为 其 传输 的 信息 加 密 ; 服务 器 
的 操作 行为 有 严格 审计 ， 能 够 防止 黑客 有 意 删 除 ; 服务 器 的 安全 状态 能 够 实时 显示 ， 各 种 安 
全 组 件 的 工作 状态 能 够 被 监测 ; 服务 器 在 受到 损害 时 ， 能 做 到 数据 恢复 可 用 等 。 

(4) 部 署 网 络 版 防 病毒 软件 

最 理想 的 状况 是 在 整个 局 域 网 内 杜绝 病毒 的 感染 、 传 播 和 发 作 ， 为 了 实现 这 一 点 ， 应 该 
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在 整个 网 络 内 可 能 感染 和 传播 病毒 的 地 方 采取 相应 的 防 病毒 手段 。 同 时 为 了 有 效 、 快 捷 地 实 
施 和 管理 整个 网 络 的 防 病毒 体系 ， 应 能 实现 远程 安装 、 智 能 升级 、 远 程 报警 、 集 中 管理 、 分 
布 查 杀 等 多 种 功能 。 

统一 部 署 各 类 公共 网 络 安全 的 服务 : 统一 的 校内 杀毒 平台 ， 在 出 口 处 设立 防毒 网 关 ; 学 
校 重要 业务 部 门 的 服务 需 集 中 管理 ， 关 键 数据 统一 容 灾 备 份 ; 对 于 关键 数据 实行 有 控制 的 访 
问 ， 防 止 内 、 外 部 数据 窃取 、 数 据 自 改 、 非 授权 访问 ;统一 部 署 学 校内 部 的 网 络 化 的 补丁 分 
发 服务 器 (WSUS) ， 满 足 校内 用 户 经 常 性 打 补 本 和 系统 升级 的 需要 ; 满足 信息 安全 的 需求 ， 
在 核心 设备 与 外 网 端口 部 署 信息 审计 设备 ， 实 现 与 相关 管理 机 构 的 联动 报警 功能 。 

采取 这 种 升级 方式 ， 一 方面 确保 校园 网 内 的 杀毒 软件 的 更 新 保持 同步 ， 使 整个 校园 网 都 
具有 最 强 的 防 病毒 能 力 ; 另 一 方面 ， 由 于 整个 网 络 的 升级 、 更 新 都 是 由 程序 来 自动 、 智 能 完 
成 ， 因 此 就 可 以 避免 由 于 人 为 因素 造成 网 络 中 因为 没有 及 时 升级 为 最 新 的 病毒 定义 码 和 扫描 
引擎 而 失去 最 强 的 防 病 毒 能 力 。 

(5) 加 强 安全 监控 管理 

对 校园 网 络 进行 安全 监控 ,就 如 同 在 教学 大 楼 内 安装 的 闭路 电视 监控 系统 ， 也 能 增加 高 
校 校 园 网 的 安全 指数 。 监 控 管 理 能 对 校园 网 关键 区 域 的 信息 流动 进行 动态 监测 ， 能 够 把 网 络 
上 流 过 的 所 有 数据 包 ， 通 过 实时 检测 和 分 析 ， 及 时 发 现 非法 或 异常 行为 ;还 能 对 校园 网 紧急 
事件 〈 网 页 自 改 、 试 题 盗 锣 ) 以 最 快 的 速度 阻止 ; 能 够 按 要 求 存 储 校 园 网 访问 日 志 记 录 ， 
提供 关键 词 查 找 和 离线 分 析 功 能 ; 甚至 能 对 校园 网 特殊 安全 事件 进行 回放 。 


























7.8 网 络 管理 员 的 职责 和 任务 


在 网 络 建成 之 后 投入 正常 使 用 之 前 ， 必 须 配 备 专业 的 网 络 管理 工作 者 ， 才 能 保证 网 络 的 
正常 使 用 。 计 算 机 网 络 的 运行 周期 一 般 是 一 年 365 天 ， 每 天 24 小 时 不 间断 地 运行 和 服务 ， 
对 于 很 多 企业 和 单位 来 说 ， 在 行政 机 构 中 都 会 设置 专门 的 网 络 技术 部 门 或 者 网 络 管理 部 门 ， 
并 且 配 备 专业 的 技术 人 员 。 通 常 管理 和 维护 网 络 的 这 些 专业 技术 人 员 被 称 为 网 络 管理 员 。 网 
络 管理 员 的 基本 工作 是 负责 网 络 的 运营 、 管 理 、 维 护 、 故 障 诊断 与 排除 ， 维 护 网 络 正常 平稳 
地 运行 。 在 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 》 中 规定 了 网 络 管理 
员 的 管理 原则 、 管 理 手段 、 管 理 职责 及 应 遵守 的 相关 法 律 法 规 。 在 国家 职业 技能 标准 中 ， 对 
网 络 管理 员 的 要 求 见 表 7-1。 























表 7-1 对 网 络 管理 员 的 要 求 






































职业 功能 | 工作 内 容 技能 要 求 相关 知识 
1) 能 够 按照 操作 规程 中 正确 开关 机 房 的 
电源 设备 的 | ya 2 i “| 1) 电源 设备 操作 规程 
叶 作 与 管理 a 2) 电源 系统 常见 故障 及 种 类 
人 2) 能 够 及 时 发 现 电源 系统 故障 om 
一 、 维 护 机 房 
环境 1) 能 够 按照 操作 规程 正确 开关 机 房 内 的 空 
2 空调 设备 的 | 调 设备 1) 空调 设备 操作 规程 
操作 与 管理 2) 能 够 根据 机 房 要 求 调整 空调 设备 2) 空调 设备 常见 故障 的 种 类 
3) 能 够 及 时 发 现 空调 设备 故障 
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本 服务 
























































2) 能 够 判断 网 络 基本 服务 是 


通常 网 络 管理 员 的 工作 包括 以 下 内 容 。 
1. 网 络 基础 设施 、 硬 件 设 备 等 的 配置 、 管 理 与 维护 


1) 
2) 
3) x 
4) 
5) 
6) 
7) 
系 。 
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Ns 


十 运行 


掌握 与 外 部 网 络 的 连接 配置 ， 





否 工作 正常 








务 进行 监视 的 方法 


确保 对 外 接 入 网 络 通信 和 链 路 、 局 域 网 通信 和 链 路 的 通信 传输 畅通 。 
掌握 局 域 网 主干 设备 的 配置 情况 及 配置 参数 变更 情况 ， 备 份 各 个 设备 的 配置 文件 。 
关键 业务 网 络 的 主干 设备 配备 相应 的 备份 设备 ， 并 配置 为 热 后 备 设备 。 
负责 网 络 布线 配 线 架 的 管理 ， 确 保 配 线 的 合理 有 序 。 
掌握 用 户 端 设备 接 入 网 络 的 情况 ， 以 便 发 现 问题 时 可 迅速 定位 。 

采取 技术 措施 ， 对 网 络 内 经 常 出 现 的 用 户 需 要 变更 位 置 和 部 门 的 情况 进行 
监督 网 络 通信 状况 ， 发 现 问题 后 与 有 关机 构 及 时 联 
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8) 实时 监控 整个 局 域 网 的 运转 和 网 络 通信 流量 情况 。 

9) 制定 、 发 布 网 络 基础 设施 使 用 管理 办 法 并 监督 执行 情况 。 

2. 网 络 操作 系统 管理 

1) 在 网 络 操作 系统 配置 完成 并 投入 正常 运行 后 ， 为 了 确保 网 络 操作 系统 工作 正常 ， 网 
络 管理 员 首 先 应 该 能 够 熟练 地 利用 系统 提供 的 各 种 管理 工具 软件 ， 实 时 监督 系统 的 运转 情 
况 ， 及 时 发 现 故 障 征兆 并 进行 处 理 。 

2) 在 网 络 运行 过 程 中 ， 网 络 管理 员 应 随时 掌握 网 络 系统 配置 情况 及 配置 参数 变更 情 
况 ， 对 配置 参数 进行 备份 。 网 络 管理 员 还 应 该 做 到 随 着 系统 环境 的 变化 、 业 务 发 展 需要 和 用 
户 需 求 ， 动 态 调整 系统 配置 参数 ， 优 化 系统 性 能 。 

3) 网 络 管理 员 应 为 关键 的 网 络 操作 系统 服务 器 建立 热 备 份 系统 ， 做 好 防 灾 准 备 。 

3. 应 用 系统 与 业务 系统 的 管理 

1) 确保 各 种 网 络 应 用 服务 运行 的 不 间断 性 和 工作 性 能 的 良好 性 ， 出 现 故障 时 应 将 故障 
造成 的 损失 和 影响 控制 在 最 小 范围 内 。 

2) 对 于 要 求 不 可 中 断 的 关键 型 网 络 应 用 系统 ， 除 了 在 软件 手段 上 要 掌握、 备份 系统 参 
数 和 定期 备份 系统 业务 数据 外 ， 必 要 时 在 硬件 手段 上 还 要 建立 和 配置 系统 的 热 备份 。 

3) 对 于 用 户 访问 频率 高 、 系 统 负载 大 的 网 络 应 用 服务 ， 必 要 时 网 络 管理 员 还 应 该 采取 
分 流 的 技术 措施 。 

4. 用 户 服务 与 管理 

1) 用 户 的 开户 与 撤销 。 

2) 用 户 组 的 设置 与 管理 。 

3) 用 户 可 用 服务 与 资源 的 权限 管理 和 配额 管理 。 

4) 用 户 计 费 管理 。 

5) 包括 用 户 桌 面 联网 计算 机 的 技术 支持 服务 和 用 户 技 术 培 训 服 务 的 用 户 端 支持 服务 。 

5. 安全 保密 管理 

1) 安全 与 保密 是 一 个 问题 的 两 个 方面 ， 安 全 主要 指 防止 外 部 对 网 络 的 攻击 和 和 入侵, 保 
密 主 要 指 防止 网 络 内 部 信息 的 泄露 。 

2) 对 于 普通 级 别 的 网 络 ， 网 络 管理 员 的 任务 主要 是 配置 管理 好 系统 防火 墙 。 为 了 能 够 
及 时 发 现 和 阻止 网 络 黑客 的 攻击 ， 可 以 加 配 入 侵 检测 系统 对 关键 服务 提供 安全 保护 。 

3) 对 于 安全 保密 级 别 要 求 高 的 网 络 ， 网 络 管理 员 除 了 应 该 采取 上 述 措施 外 ， 还 应 该 配 
备 网 络 安全 漏洞 扫描 系统 ， 并 对 关键 的 网 络 服务 器 采取 容 灾 的 技术 手段 。 

4) 更 严格 的 涉 密 计算 机 网 络 ， 还 要 求 在 物理 上 与 外 部 公共 计算 机 网 络 绝对 隔离 ， 对 安 
置 涉 密 网 络 计 算 机 和 网 络 主干 设备 的 房间 要 采取 安全 措施 ， 管 理 和 控制 人 员 的 进出 ， 对 涉 密 
网 络 用 户 的 工作 情况 要 进行 全 面 的 管理 和 监控 。 

6. 数据 与 信息 存储 备份 管理 

1) 采取 一 切 可 能 的 技术 手段 和 管理 措施 ， 保 护 网 络 中 的 信息 安全 。 

2) 对 于 实时 工作 级 别 要 求 不 高 的 系统 和 数据 ， 网 络 管理 员 也 应 该 进行 定期 手工 操作 备 
份 。 

3) 对 于 关键 业务 服务 系统 和 实时 性 要 求 高 的 数据 和 信息 ， 网 络 管理 员 应 该 建立 存储 备 
份 系统 ， 进 行 集中 式 的 备份 管理 。 




















239 


[站 大 型 园区 网 络 建设 与 管理 


4) 最 后 将 备份 数据 随时 保存 在 安全 地 点 是 非常 重要 的 。 

7. 机 房管 理 

1) 掌握 机 房 数据 通信 电缆 布线 情况 ， 在 增 减 设备 时 确保 布线 合理 ， 管 理 维护 方便 。 

2) 掌管 机 房 设 备 供电 线路 安排 ， 在 增 减 设备 时 注意 负载 的 合理 配置 。 

3) 管理 网 络 机 房 的 温度 、 湿 度 和 通风 状况 ， 提 供 适 合 的 工作 环境 。 

4) 确保 网 络 机 房 内 各 种 设备 的 正常 运转 。 

5) 确保 网 络 机 房 符 合 防火 安全 要 求 ， 火 警 监 测 系统 工作 正常 ， 灭 火 措施 有 效 。 

6) 和 采取 措施 ， 在 外 部 供电 意外 中 断 和 恢复 时 ， 实 现在 无 人 值守 的 情况 下 保证 网 络 设备 
安全 运行 。 

7) 保持 机 房 整洁 有 序 ， 按 时 记录 网 络 机 房 运 行 日 志 ， 制 定 网 络 机 房管 理 制 度 并 监督 执 











们 。 
本 章 小 结 


大 型 园区 网 络 在 建设 任务 完成 后 ， 重 点 工作 就 转 入 日 常 化 的 网 络 运 维 管理 。 网 络 管理 是 
保障 网 络 正常 运行 的 必修 课 。 本 章 以 大 型 园区 网 络 管理 技术 为 主题 ， 讨 论 了 大 型 园区 管理 技 
术 。 

1) 简要 介绍 了 网 络 管理 的 概念 、 目 标 和 内 容 、 基 本 功能 。 

2) 详细 介绍 了 802. 1x 认证 技术 ,这 是 目前 最 先进 的 映 份 认 证 ， 对 提高 网 络 安 全 管理 水 
平 至 关 重 要 。 

3) 介绍 了 网 络 管理 平台 与 案例 ， 进 一 步 前 述 网 络 管理 、 安 全 管理 等 方面 的 技术 和 网 络 


管理 员 的 职责 。 
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第 8 音 大 型 园区 网 络 规划 与 设计 案例 


本 章 我 们 以 某所 大 学 的 校园 网 作为 大 型 园区 网 络 的 规划 与 设计 案例 进行 分 析 ， 校 园 网 的 
用 户 人 数 少 则 几 千 人 ， 多 则 几 万 人 ， 属 于 典型 的 大 型 园区 网 络 。 

校园 网 是 为 学 校 师 生 提供 教学 、 科 研 和 综合 信息 服务 的 宽带 多 媒体 网 络 。 它 是 在 学 校 范 
围 内 ， 在 一 定 的 教育 思想 和 理论 指导 下 ， 为 学 校 教 学 、 科 研 和 管理 等 教育 提供 资源 共享 、 信 
息 交 流 和 协同 工作 的 计算 机 网 络 ， 它 不 仅 提 供 了 全 校 师 生 访问 Internet 的 功能 ， 还 是 一 个 具 
有 交互 功能 和 专业 性 很 强 的 局 域 网 络 。 学 校门 户 网 站 、 网 络 教 学 平台 、 信 息 资 源 、 网 上 图 书 
馆 等 数字 校园 平台 ， 都 可 以 通过 网 络 运行 工作 ， 校 园 网 应 为 学 校 教学 、 科 人 研 提 供 先进 的 信息 
化 环境 。 




















8.1 校园 网 建设 与 发 展 历程 





高 校 校 园 网 一 直 是 国内 Internet 发 展 的 领头 羊 。 中 国教 育 和 科研 计算 机 网 CERNET 始 建 
于 1994 年 ， 是 全 国 第 一 个 IPv4 主干 网 。 也 就 是 同一 年 ， 清 华 、 北 大 等 顶尖 大 学 建成 了 自己 
的 校园 网 ， 事 实 上 这 些 网 络 也 是 中 国 Internet 的 开端 。 高 校 校园 网 从 1994 年 的 启动 建立 到 现 
在 的 19 年 间 ， 无 论 是 高 校 校 园 网 的 网 络 技术 ， 还 是 高 校 校 园 网 的 关注 要 点 ， 大 致 可 以 分 为 
3 个 阶段 : 

第 一 阶段 是 基础 设施 建设 时 期 ， 时 间 大 约 从 1994 年 到 2000 年 。 这 期 间 各 种 网 络 技术 在 
高 校 同 时 都 有 应 用 : 以 太 网 技术 、FDDI、ATM 网 络 技术 。 在 这 个 阶段 ， 由 于 校园 网 应 用 的 
技术 比较 繁杂 ， 而 且 业 务 相 对 单一 ， 因 此 ， 这 一 阶段 主要 关注 网 络 的 连通 性 和 兼容 性 ， 即 如 
何 保证 校园 网 的 连通 ， 和 各 种 不 同 网 络 技术 的 兼容 和 融合 。 

第 二 阶段 是 应 用 平台 建设 时 期 ， 时 间 大 约 是 从 2000 年 到 2005 年 。 这 期 间 ， 随 着 网 络 技 
术 的 发 展 ， 各 种 应 用 也 开始 出 现 并 发 展 迅速 ， 包 括 BBS、WWW、FTP、E-mail， 以 及 近 两 年 
流行 的 BT 下 载 、 视 音频 业务 等 ， 这 些 应 用 都 对 带宽 提出 了 挑战 。 与 此 同时 ， 网 络 技术 一 一 
特别 是 以 太 网 技术 迅猛 发 展 ，1000M 以 太 网 已 经 步 和 人 校园， 万 兆 标 准 也 已 经 公布 。 结 合 实际 
应 用 和 网 络 技术 来 看 ， 这 个 阶段 主要 关注 : 带宽 和 应 用 。 

第 三 阶段 是 信息 资源 建设 时 期 ， 时 间 从 2005 年 至 今 ， 帮 至 今后 的 相当 长 的 一 段 时 期 。 
近 几 年 ， 万 兆 以 太 网 已 经 开始 在 高 校 校园 网 中 规模 化 应 用 ， 下 一 代 以 太 网 标准 也 已 经 确立 为 
10 万 兆 标 准 。 同 时 ， 随 着 中 国 下 一 代 互 联网 工程 CERNET2 的 启动 ，IPV6 技术 也 已 经 在 校 
园 网 中 实验 并 逐步 应 用 。 当 基础 设施 、 应 用 平台 建设 之 后 ， 信 息 资 源 的 丰富 与 否决 定 了 校园 
网 络 的 真正 价值 。 当 信息 资源 充分 丰富 后 ， 人 们 的 工作 、 学 习 、 和 生活、 娱乐 完全 离 不 开 网 
络 ， 网 络 的 安全 与 可 信 又 成 为 头等 重要 的 问题 。 纵 观 这 几 年 的 整个 网 络 世 界 ， 安 全 事件 频 
发 ， 如 冲击 波 、 震 荡 波 、ARP 攻击 等 。 所 以 ， 安 全 可 信 成 为 了 高 校 校 园 网 当前 关注 的 要 点 。 

第 一 阶段 更 注重 校园 网 是 数字 校园 的 基础 平台 ,校园 网 升级 改造 成 为 了 各 个 高 校 的 热 
点 ， 从 核心 设备 到 终端 服务 ， 更 多 的 是 强调 精细 化 管理 ， 强 调 校园 网 的 可 靠 性 和 稳定 性 ， 更 
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好 地 满足 数字 校园 建设 的 支撑 平台 的 作用 。 
简单 来 说 ， 对 于 校园 网 ， 丰 富 的 应 用 是 关键 ， 而 稳定 可 靠 的 网 络 是 基础 ， 完 善 的 安全 和 
管理 手段 是 保障 。 




















8.2 校园 网 建设 总 体 方案 分 析 


8.2.1 校园 网 的 设计 原则 


校园 网 是 一 个 复杂 的 系统 ， 校 园 网 建设 无 疑 是 一 个 复杂 的 系统 工程 。 网 络 的 规划 、 设 
计 、 硬 件 建设 、 软 件 建设 以 及 网 络 的 应 用 、 管 理 等 均 以 系统 的 眼光 来 看 待 ， 任 何 一 项 工作 都 
从 全 局 、 长 远 的 角度 出 发 ， 体 现 整体 最 优 性 。 校 园 网 建设 是 一 项 资金 和 人 力 投 入 都 较 大 的 工 
程 ， 一 方面 各 个 高 校 目 前 对 于 信息 化 基础 建设 投入 资金 紧张 ， 而 网 络 技术 更 新 发 展 较 快 ， 校 
园 网 建设 设备 更 新 换代 频率 较 高 ; 广大 师 生 员工 对 校园 网 的 依赖 程度 越 来 越 高 ， 对 性 能 要 求 
越 来 越 高 ， 校 园 网 的 应 用 还 不 够 丰富 。 校 园 网 的 建设 要 做 好 总 体 规 划 设 计 、 分 布 实施 ， 将 校 
园 网 各 个 子 系统 有 规划 、 有 步骤 地 建设 ， 既 要 着 腿 于 未 来 技术 的 发 展 变化 ， 具 有 技术 先进 性 
和 实用 性 结合 的 发 展 策略 ， 也 要 注重 经 济 性 原则 。 概 括 来 说 ， 新 的 校园 网 建设 要 尽量 遵循 以 
下 原则 : 

1. 开放 性 

根据 开放 互 连 标准 的 规定 ， 只 有 开放 的 、 符 合 国际 标准 的 网 络 系统 才能 够 实现 多 厂家 产 
品 的 互 连 。 目 前 主流 的 网 络 技术 标准 主要 是 以 太 网 技术 ,包括 千 兆 、 万 兆 甚 至 十 万 兆 网 络 ， 
选择 符合 国际 标准 的 网 络 产品 和 系统 ， 提 供 开 放 的 网 络 接口 和 数据 接口 ， 使 不 同 广 家 的 产品 
能 够 相互 兼容 ， 更 有 利于 校园 网 的 数据 交换 和 信息 共享 。 

2. 可 扩展 性 

网 络 系统 要 灵活 地 升级 和 扩展 ， 可 扩展 对 网 络 而 言 有 两 方面 的 内 容 : 第 一 是 能 够 适应 网 
络 规模 的 扩充 ， 第 二 是 能 够 适应 应 用 提升 对 系统 性 能 的 更 高 的 要 求 ， 可 以 方便 地 对 产品 进行 
升级 和 更 新 换代 。 具 有 良好 扩展 性 的 网 络 系 统 能 够 让 学 校 以 较 小 的 代价 扩充 现 有 网 络 设备 的 
功能 ， 这 样 ， 就 有 效 地 保护 了 学 校 的 投资 。 

3. 可 靠 性 

网 络 系统 必须 具有 一 定 的 容错 能 力 ， 保 障 在 意外 情况 下 不 中 断 用 户 的 正常 工作 。 可 靠 性 
也 是 通过 设备 可 靠 性 和 技术 措施 两 个 层次 的 方式 来 解决 。 首 先 ， 要 求 所 选择 的 网 络 厂 商 产 品 
的 性 能 要 稳定 可 靠 ; 其 次 ,要求 网 络 厂商 有 充足 的 备件 ， 在 设备 发 生 故 障 后 能 够 得 到 及 时 更 
换 ; 第 三 ， 通 过 技术 措施 来 保证 网 络 的 可 靠 性 。 比 如 采取 中 心 双 交换 机 技术 ， 采 用 部 件 元 余 
技术 ， 采 用 链 路 通道 技术 等 。 通 过 这 些 措施 使 得 网 络 即 使 出 现 某 些 故障 仍然 能 够 正常 运行 。 

4. 可 管理 性 

网 络 系统 应 该 能 够 文 持 SNMP (简单 网 管 协议 ) 和 RMON ， 应 该 建设 统一 的 网 管 系统 ， 
能 够 对 整个 骨干 网 内 多 个 厂家 设备 实现 完善 的 网 络 拓扑 管理 、 设 备 管理 、 性 能 管理 和 故障 管 
理 ， 可 以 实时 监控 所 有 设备 和 线路 的 运行 状况 ， 对 全 网 设备 的 运行 信息 进行 实时 监控 ， 并 对 
故障 和 性 能 超 限 实现 实时 告警 ， 对 设备 运行 情况 进行 查询 和 统计 ， 定 期 生成 运行 报告 。 根 据 
网 络 运行 环境 变化 提供 合适 的 方式 对 网 络 参 数 进 行 配置 修改 ， 保 证 网 络 以 最 优 性 能 正常 运 
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行 。 要 求 能 够 实现 分 级 管理 。 网 络 的 可 管理 性 对 整个 系统 具有 至 关 重 要 的 意义 。 现 在 网 络 和 
应 用 变 得 愈 来 愈 复杂 ， 一 个 不 可 管理 的 网 络 是 不 可 想象 的 。 

5. 先进 性 和 实用 性 

先进 性 和 实用 性 是 相辅相成 的 ， 网 络 技术 和 产品 的 先进 性 保证 了 系统 的 高 性 能 ， 实 用 性 
保证 了 网 络 的 高 效率 和 真正 发 挥 作用 。 现 在 各 种 新 技术 和 设备 层出不穷 ， 不 能 一 味 追 求 新 技 
术 ， 要 尽量 选择 成 熟 可 笔 又 能 具有 一 定 前 脆性 的 技术 方案 和 产品 ， 充 分 考虑 新 技术 与 现 有 技 
术 和 设备 的 兼容 性 。 

6. 安全 性 

网 络 系统 必须 具有 较 高 的 安全 性 ， 网 络 设备 安全 可 靠 运行 ， 网 络 用 户 安 全 接 和 人 网络 ， 实 
现 认 证 、 可 信和 安全 ， 网 络 系统 能 够 有 效 防 御 网 络 人 侵 行 为 和 攻击 行为 ， 保 障 数据 及 信息 安 
全 。 


8.2.2 校园 网 总 体 方案 设计 思 


相 比 大 型 企业 网 络 来 说 ， 高 校 校园 网 有 很 多 不 同 之 人 处。 高 校 校园 网 的 设计 必须 要 紧 紧 围 
绕 学 校 建设 校园 网 的 目标 来 做 好 校园 网 的 需求 分 析 。 校 园 网 的 建设 是 各 个 高 校 信 息 化 建设 的 
重要 基础 ， 如 同 每 个 大 学 有 高 楼 大 厦 一 样 ， 那 么 校园 网 在 每 个 大 学 也 是 必 不 可 少 的 。 校 园 网 
的 设计 要 综合 学 校 各 方面 的 情况 进行 考虑 ， 一般 来 说 ， 大 学 校园 网 整体 方案 的 设计 要 经 过 如 
下 几 个 步骤 : 

1) 全 面 了 解 建设 背景 。 全 面 了 解 学 校 的 情况 ， 包 括 学 校 已 有 校区 校园 网 现状 、 新 建 校 
区 及 单 体 建筑 的 设计 规划 、 教 职工 、 学 生 人 数 规模 、 教 室 、 实 验 室 等 教学 资源 情况 、 办 公 环 
境 、 学 生 宿 舍 、 家 属 区 、 后 勤 产业 等 各 情况 ， 综 合 这 些 方面 的 情况 进行 分 析 ， 确 定 学校 当 前 
规模 及 今后 3 ~5 年 可 增长 的 规模 ， 了 解 学 校 建设 校园 网 对 教学 、 办 公 、 科 研 和 后 勤 等 方面 
业务 的 需求 。 

2) 做 好 校园 网 建设 需求 分 析 。 学 校 信 息 中 心 技术 人 员 要 清楚 学 校 建 设 校 园 网 的 主要 目 
标 ， 梳 理学 校 的 业务 及 需求 。 首 先 要 对 教学 、 科 人 研 、 人 事 、 后 勤 等 主要 单位 的 业务 类 型 进行 
了 解 ， 通 过 设计 调查 问卷 ， 了 解 各 单位 、 各 部 门 以 及 各 院 系 对 校园 网 的 应 用 要 求 ， 对 这 些 情 
况 进 行 梳 理 ， 可 以 更 加 明确 校园 网 的 建设 目标 。 比 如 学 校 财务 办 公 网 络 用 专用 网 络 ， 要 求 与 
校园 网 隔离 ， 并 且 不 得 提供 因特网 接口 。 设 计 人 员 还 要 会 同 信息 中 心 人 员 对 网 络 功能 、 性 能 
需求 、 安 全 需求 、 管 理 需求 等 做 进一步 充分 沟通 ， 以 做 好 详细 的 需求 分 析 报 告 。 

3) 明确 校园 网 建设 的 主要 内 容 及 目标 。 在 了 解 建设 背景 和 需求 分 析 的 基础 上 ， 要 进 一 
步 明 确 校园 网 建设 的 主要 内 容 及 总 体 目 标 ， 即 建设 一 个 什么 样 的 校园 网 、 校 园 网 整体 性 能 如 
何 、 采 用 什么 样 的 网 络 技术 、 建 设 方案 先进 性 与 实用 性 如 何 、 投 资 预算 规模 多 大 、 建 设 周 期 
多 长 。 对 新 建 校 区 的 园区 网 络 要 考虑 网 络 综合 布线 系统 、 网 络 核心 机 房 、 数 据 中 心机 房 、 网 
络 方案 及 系统 集成 、 业 务 应 用 系统 等 各 个 系统 的 规划 与 建设 。 

4) 进行 校园 网 主干 网 络 的 设计 。 校 园 网 主干 网 络 的 设计 十 分 重要 ， 它 关系 到 整个 校园 
网 的 架构 及 性 能 。 充 分 参考 国内 外 知名 网 络 设 备 厂商 提供 的 网 络 解决 技术 方案 、 国 内 外 重点 
高 校 成 功 建设 校园 网 的 经 验 ， 根 据 应 用 需求 、 建 设 目标 、 单 体 建筑 分 布 及 信息 点 位 总 数 等 各 
个 高 校 的 实际 情况 和 特点 进行 设计 。 主 干 网 络 结构 设计 的 重点 是 网 络 拓扑 结构 的 设计 ， 对 于 
较 大 规模 的 校园 网 应 采用 多 核心 的 拓扑 结构 ， 对 于 小 型 网 络 多 采用 双核 心 网 络 拓扑 。 
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5) 进一步 明确 网 络 技术 选 型 、 因 特 网 出 口 设 计 、 网 络 拓扑 结构 设计 、 系 统 具 体 设 计 
等 。 网 络 技术 选 型 要 考虑 一 定 的 先进 性 及 前 脆性， 同时 又 要 兼顾 实用 性 。 目 前 千 兆 以 太 网 技 
术 非 常 成 熟 ， 万 兆 及 十 万 浪 以 太 网 技术 逐渐 成 为 主流 ， 在 设计 时 应 予以 充分 考虑 。 对 综合 布 
线 系统 的 设计 要 考虑 充足 的 光纤 忌 数 、 信 息 点 位 数 ， 水 平 布线 系统 应 主要 考虑 六 类 铜 绕 ， 以 
达到 更 高 的 传输 性 能 。 在 网 络 设备 选 型 上 ， 要 充分 考虑 核心 设备 、 接 入 设备 的 主要 性 能 参 
数 ， 选 择 更 稳定 可 靠 的 性 价 比较 好 的 设备 。 

6) 对 各 个 子 系统 进一步 做 好 详细 设计 。 校 园 网 包括 多 个 子 系统 ， 每 一 块 都 需要 更 深入 
的 详细 设计 ， 安 排 合理 的 投资 预算 和 实施 步骤 。 


8.2.3 校园 网 的 基本 功能 与 建设 需求 


1. 校园 网 应 提供 的 应 用 功能 

校园 网 具有 不 同 于 其 他 网 络 的 特点 ， 不同 的 是 在 校园 网 中 服务 的 对 象 主要 是 师 生 员工 ， 
校园 网 提供 了 一 种 促进 教学 、 科 研 与 生活 的 网 络 环境 。 

(1) 办 公 眉 动 化 

学 校 信 息 网 络 中 心 购买 或 开发 基于 Web 的 办 公 自 动 化 系统 ( Office Automation，OA ) ， 
基于 Web 的 综合 管理 信息 系统 ， 提 供 行政 、 人 事 、 学 籍 、 教 学 、 后 勤 、 财 务 管理 、 公 文 收 
发 管理 、 教 师 档案 管理 、 学 生 档 案 管理 、 科 技 档案 管理 等 ， 使 学 校 日 常 办 公 无 纸 化 ， 减 少 办 
公开 文 ， 提 高 办 公 效 率 。 

(2) 网 络 多 媒体 教学 

将 计算 机 多 媒体 视听 引入 课堂 教学 ， 使 声音 、 图 像 、 动 画 的 普遍 采用 可 以 大 大 提高 教学 
效果 ， 使 在 每 一 节 课 上 都 能 够 发 挥 有 效 的 作用 。 

(3) 学 生 目 主 学 习 

针对 不 同 的 学 生 ， 提 供 不 同 的 教学 内 容 ， 采 取 不 同 的 教学 手段 。 主 要 采用 基于 VOD、 
Web 及 FTP 的 课件 、 光 盘 软 件 、Internet 资源 ， 学 生 可 以 根据 自己 的 需要 自由 地 选择 所 需 的 
内 容 。 

(4) 电子 图 书馆 

基于 Web 的 图 书 音像 资料 供 学 生 随时 阅读 ， 并 与 Internet 连接 ， 使 图 书馆 得 到 进一步 拓 
展 ,使 学 生 能 够 得 到 近乎 无 限 的 网 上 资源 。 

(5) 电子 邮件 

电子 邮件 是 Internet 上 的 一 个 最 重要 的 应 用 ， 将 为 每 一 位 教师 和 学 生 开设 一 个 电子 邮件 
账号 ， 利 用 电子 邮件 学 生 可 以 和 老师 、 同 学 及 家 长 进行 交流 ， 同 时 也 可 以 和 国内 外 等 地 学 校 
的 学 生 进行 交流 。 

(6) 远程 教育 

实现 校内 外 连通 ， 师 生 在 线 、 交 互 式 学 习 、 和 辅导、 测验 等 功能 。 

(7) 校园 一 卡通 工程 

利用 IC 卡 易于 管理 的 特性 ， 结 合 校园 网 络 ， 轻 松 实现 学 期 注册 、 考 试 、 教 务 管理 ， 机 
房 上 机 管理 ， 食 符 餐 饮 管理 ， 图 书 借阅 管理 等 ， 从 而 为 学 校 开 源 节 流 、 降 低 管 理 费 用 。 

(8) 校园 移动 计算 

采用 有 线 和 无 线 网 络 混合 建构 ， 方 便 学 生 、 老 师 移 动 上 网 学 习 和 办 公 。 
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2. 校园 网 建设 的 功能 需求 

在 建设 校园 网 的 时 候 ， 一 般 应 从 以 下 几 个 方面 进行 考虑 : 

(1) 网 络 接 入 需求 

校园 网 作为 基础 设施 之 一 ， 需 要 师 生 能 够 随时 随地 方便 的 接 入 ， 这 也 是 校园 网 最 基本 的 
功能 需求 。 在 校园 单 体 建筑 综合 布线 系统 设计 和 施工 时 ， 一 般 会 充分 考虑 到 每 一 个 房间 功能 
单元 都 要 有 网 络 接 入 ， 教 学 楼 、 办 公 楼 、 实 验 室 、 图 书馆 、 后 勤 等 各 个 区 域 的 建筑 都 有 光纤 
接 入 。 大 学 的 教职员 工 和 学 生 拥有 计算 机 的 普及 率 相当 高 ， 网 络 接 入 是 最 基本 的 需求 。 

随 着 高 校 办 学 条 件 的 日 趋 完善 ， 网 络 产品 的 普及 ， 以 及 计算 机 硬件 设备 价格 的 下 降 ， 笔 
记 本 电脑 、 无 线 网 卡 、PDA 等 无 线 终端 产品 价格 逐步 降低 ， 其 在 师 生 中 的 普及 率 越 来 越 高 ， 
师 生 对 于 无 线 接 入 的 需求 越 来 越 高 ， 因 此 师 生 要 求 在 校园 内 实现 移动 上 网 的 呼声 越 来 越 高 。 
目前 ， 各 所 学 校 的 建筑 楼 宇 、 窒 舍 可 以 使 用 有 线 接 入 网 络 。 在 校园 内 采用 无 线 局 域 网 技术 组 
建 无 线 校园 网 ， 可 以 作为 有 线 网 络 的 一 种 补充 和 延伸， 可 适应 在 校 师 生 移动 性 强 、 数 量 大 等 
特点 ， 最 大 限度 地 满足 师 生 的 上 网 需求 ， 为 师 生 上 网 提供 极 大 的 便利 。 这 就 强调 有 线 网 络 和 
无 线 网 络 的 结合 一 一 适合 无 线 网 络 的 地 方 用 无 线 网 络 ， 适 合 有 线 网 络 的 地 方 用 有 线 网 络 。 

(2) 骨干 网 络 高 性 能 、 高 稳定 性 与 可 笔 性 的 需求 

高 校 校 园 网 的 用 户 数 在 不 断 增加 ， 并 且 随 着 网 络 应 用 技术 的 不 断 丰 富 ， 高 校 校 园 网 应 用 
也 越发 复杂 ， 例 如 FTP、VOD 点 播 等 大 数据 量 的 访问 ， 尤 其 是 目前 流行 的 P2P 应 用 产生 了 
巨大 的 网 络 流量 ， 如 何 高 速 进行 网 络 传输 ， 对 网 络 设备 的 性 能 提出 了 很 高 的 要 求 。 网 络 高 性 
能 要 求 网 络 核心 设备 、 汇 聚 级 交换 机 具有 较 高 的 背 板 带 宽 、 端 口 速率 等 高 性 能 指标 。 

随 着 网 络 应 用 的 不 断 丰 富 ， 校 园 网 已 经 成 为 师 生 员工 工作 、 学 习 和 生活 不 可 缺少 的 重要 
平台 ， 越 来 越 离 不 开 网 络 ， 网 络 的 高 稳定 性 、 高 可 靠 性 就 显得 越发 重要 。 校 园 网 用 户 数 不 断 
增加 、 应 用 的 复杂 ， 导 致 网 络 流量 的 飞速 提升 ， 需 要 保证 多 用 户 、 大 流量 情况 下 骨干 的 高 带 
宽 ， 骨干 设备 的 线束 转发; 随 着 师 生日 常 对 于 网 络 的 依赖 性 的 增强 ， 和 网 络 环境 的 日 趋 恶 
劣 ， 需 要 保证 做 到 骨干 网 络 具备 较 高 的 稳定 性 、 可 靠 性 。 

(3) 出 口 区 域 对 性 能 和 功能 的 需求 

当前 高 校 一 般 都 接 和 人 中 国教 育 科 研 与 计算 机 网 CERNET， 有 条 件 的 高 校 还 接 人 了 电信 级 
运营 商 提供 的 宽带 接 人 。 这 就 需要 进行 多 出 口 的 策略 部 署 ， 并 且 需 要 解决 多 出 口 部 署 下 的 性 
能 问题 。 校 园 网 出 口 设备 的 功能 和 性 能 尤为 重要 ， 它 起 着 将 一 个 用 户 数 较 多 的 高 校园 区 网 络 
与 互联 网 互联 互通 的 重要 桥梁 的 作用 。 校 园 网 出 口 设备 需要 具备 出 口 路 由 策略 、 网 络 地 址 转 
换 等 功能 ， 这 也 容易 成 为 校园 网 访问 互联 网 的 一 个 瓶颈 。 上 具体 来 说 ，NAT (地 址 转换 ) 就 
是 上 网 速度 慢 的 一 个 重要 原因 ， 田 外 设备 局 用 策略 路 由 时 ， 造 成 设备 性 能 的 下 降 ， 也 影响 整 
个 出 口 的 效能 和 稳定 性 。 

(4) 数字 校园 网 络 文 撑 平台 的 需求 

校园 网 的 建设 突出 在 基础 设施 建设 上 ， 包 括 校园 网 络 、 存 储 系统 、 计 算 机 系统 及 其 他 硬 
件 设施 ， 整 体 构成 了 数字 校园 的 基础 支撑 平台 。 校 园 数据 中 心 是 学 校 信 息 数据 的 存储 、 共 
享 、 交 换 与 处 理 的 中 心 ， 承 担 着 学 校 的 核心 计算 、 信 息 系 统 的 运行 、 信 息 资源 管理 、 信 息 资 
源 服 务 等 功能 ， 也 是 校园 网 建设 时 必须 重点 考虑 的 要 素 。 校 园 网 中 各 种 信息 系统 、 业 务 系 
统 、 文 撑 软 件 系 统 等 都 依赖 于 高 性 能 的 校园 网 络 作为 基础 支撑 平台 来 提供 服务 。 

(5) 网 络 安全 的 需求 
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在 应 用 丰富 的 同时 ， 网 络 环境 也 变 得 异常 恶劣 。 近 两 年 ， 安 全 攻击 事件 呈 指 数 级 上 升 ， 
而 所 需要 的 知识 却 越 来 越 弱化 ， 各 种 攻击 工具 在 网 络 上 可 以 随手 牛 来 。 这 也 对 网 络 设备 在 网 
络 攻击 或 者 病毒 沁 滥 情况 下 的 稳定 可 靠 提 出 了 挑战 。 

第 一 ， 高 校 面 临 着 严峻 的 网 络 安全 形势 。 越 来 越 多 的 报道 表明 高 校 校园 网 已 逐渐 成 为 黑 
客 的 聚集 地 。 这 一 方面 是 由 于 网 络 病毒 、 黑 客 工 具 的 泛滥 ， 用 户 安全 意识 的 淡薄 ， 而 男 一 方 
面 ， 高校 学 生 一 一 这 群 精力 充沛 的 年 轻 一 族 对 新 鲜 事物 有 着 强 烈 的 好 奇 心 ， 他 们 有 着 探索 的 
高 智商 和 冲劲 ， 却 缺乏 全 面 思考 的 责任 感 。 有 关 数 字 显 示 ， 目 前 校园 网 遭受 的 恶意 攻击 ， 























90% 来 自 高 校 网 络 内 部 ， 如 何 保 障 校 园 网 络 的 安全 成 为 高 校 校 园 网 络 建设 时 不 得 不 考虑 的 问 
题 。 


第 二 ， 网 络 安全 一 定 是 全 方位 的 安全 。 首 先 ， 网 络 出 口 、 数 据 中 心 、 服 务 器 等 重点 区 域 
要 做 到 安全 过 滤 ; 其 次 ,不管 接 入 设备 ， 还 是 骨干 设备 ,设备 本 里 需要 具备 强大 的 安全 防护 
能 力 ， 并 且 安 全 策略 部 署 不 能 影响 到 网 络 的 性 能 ， 不 造成 网 络 单 点 故障 ; 最 后 ， 要 充分 考虑 
全 局 统一 的 安全 部 署 ， 需 要 能 够 从 准 入 控制 ， 到 对 网 络 安全 事件 进行 深度 探测 ， 到 现 有 安全 
设备 有 机 的 联动 ， 到 对 安全 事件 触发 源 的 准确 定位 和 根据 身份 进行 的 隔离 、 修 复 措施 ， 从 而 
能 对 网 络 形成 一 个 由 内 至 外 的 整体 安全 构架 。 

所 以 ,在 对 出 口 等 重点 区 域 进行 安 全 部 署 的 同时 ， 要 更 加 全 面 地 考虑 安全 问题 ， 让 整个 
网 络 从 设备 级 的 安全 上 升 一 个 台阶 ， 摆 脱 仅 仅 局 部 加 强 某 个 单 点 的 安全 强度 的 现状 。 

(6) 方便 运营 管理 的 需求 

首先 ， 校 园 网 需要 进行 合理 的 运营 。 第 一 ， 校 园 网 的 投资 较 大 ， 加 上 每 年 的 维护 成 本 ， 
对 于 学 校 并 不 是 一 笔 可 以 忽视 的 开支 ; 第 二 ， 根 据 各 校 的 情况 ,进行 合理 的 运营 收费 ,依靠 
市 场 化 的 手段 能 够 推动 校园 网 的 运作 规范 化 和 提高 建设 水 平 。 当 人 然 ， 学 校 不 是 运营 商 ， 运 营 
的 模式 和 业务 流程 并 不 清晰 。 而 学 校 收费 和 学 生 缴 费 又 是 一 对 天 然 的 矛盾 ， 当 前 不 少 学 校 采 
用 的 运营 模式 与 学 校 实际 的 情况 差距 太 大 ， 无 法 有 效 杜 绝学 生 逃 避 收 费 等 问题 一 直 困 扰 着 学 
校 的 网 管 人 员 。 

其 次 ， 有 效 的 管理 可 以 从 用 户 管理 和 设备 管理 两 方面 来 看 。 

对 于 用 户 管理 ， 最 重要 的 是 能 够 实现 事前 的 身份 认证 和 准确 定位 ， 事 中 的 实时 处 理 ， 事 
后 的 完整 日 志 审 计 。 事 前 的 认证 和 定位 是 指 可 严格 实现 用 户 身 份 识别 ， 根 据 用 户 账号 、 密 
码 、MAC 地 址 、IP 地 址 、 交 换 机 IP、 交 换 机 端口 号 、 用 户 所 在 VLAN 的 灵活 组 合 ， 来 识别 
用 户 身 份 。 将 网 络 中 的 虚拟 用 户 和 生活 中 的 真实 用 户 相 对 应 。 事 中 的 实时 处 理 是 指 对 于 正在 
使 用 网 络 的 用 户 ， 如 果 出 现 私自 拨号 上 网 、 使 用 代理 、 更 改 IP 地 址 等 行为 ， 认 证 计 费 系统 
会 强制 用 户 下 线 。 对 于 感染 病毒 ， 出 现 安全 问题 的 用 户 ， 结 合 全 局 安全 通过 安全 联动 来 进行 
隔离 、 阻 断 和 修复 ， 以 保证 校园 网 的 安全 。 事 后 的 日 志 审 计 是 指 记录 用 户 上 网 的 详细 信息 
(包括 用 户 名 、IP、MAC 等 ) 及 完整 的 用 户 访问 外 网 的 记录 (包括 源 下、 目的 了 一、 源 端 口 、 
目的 端口 、 访 问 时 间 ) ， 一 旦 出 现 安全 问题 ， 可 以 进行 快速 完整 的 审计 ， 迅 速 定位 到 个 人 。 

对 于 设备 管理 ， 需 要 的 是 统一 有 效 的 网 络 管理 系统 。 能 够 直观 全 面 地 监控 整个 网 络 和 各 
种 设备 的 运行 状态 ， 记 录 和 深入 分 析 网 络 流量 ， 及 时 报告 各 种 故障 和 性 能 问题 ， 协 助 管理 员 
找到 故障 的 起 源 ， 并 且 对 网 络 的 性 能 变化 和 故障 发 生 提前 进行 预测 。 

高 校 用 户 数 和 网 络 节点 数 众 多 ， 因 此 难以 一 体 化 管理 众多 的 设备 和 用 户 ， 出 现 网 络 故障 
无 法 快速 定位 、IP 地 址 盗用 、IP 地 址 冲突 等 问题 日 益 严 重 ， 如 何 利用 有 限 的 人 力 物力 对 网 
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络 进 行 高 效 管 理 也 成 为 学 校 考虑 的 重点 。 
8.2.4 校园 网 设计 案例 分 析 


1. 校园 网 模块 化 、 层 次 化 设计 理念 

近年 来 ， 校 园 网 的 建设 在 国内 高 校 如 火 如 茶 地 开展 ， 几 乎 所 有 的 高 校 都 建设 有 校园 网 
络 ， 而 且 校 园 网 规模 较 大 ， 有 的 重点 大 学 校园 网 用 户 数 达 到 2 ~3 万 ， 属 于 比较 大 型 的 网 络 ， 
一 般 规 模 的 校园 网 ， 用 户 数 也 在 万 人 左右 。 校 园 网 也 是 一 个 包罗 万 象 的 网 络 ， 应 用 了 各 种 较 
新 的 产品 和 网 络 技术 。 从 建设 校园 网 的 过 程 来 看 ， 校 园 网 也 是 一 个 较为 复杂 的 网 络 。 纵 观 国 
内 大 部 分 高 校 近 10 年 来 建设 的 校园 网 ， 主 要 体现 了 网 络 设计 模块 化 、 层 次 化 的 设计 理念 ， 
即 建设 包 仿 出口、 核心、 汇聚 、 接 入 等 多 层次 的 网 络 。 根 据 学 校 建 筑 规 划 ， 将 整个 网 络 进行 
了 功能 区 的 划分 : 教学 区 、 办 公 区 、 学 生 香 舍 区 、 后 勤 服务 区 、 家 属 区 、 数 据 中 心 、 网 络 中 
心 等 较 大 的 逻辑 区 域 ， 对 教学 楼 、 办 公 楼 、 学 生 短 舍 区 、 家 属 区 、 后 勤 服务 区 等 园区 交换 网 
作为 整个 网 络 的 承载 基础 ， 基 本 都 是 基于 三 层 架 构 进 行 划分 : 核心 层 、 汇 聚 层 和 接 人 层 。 

2. 校园 网 设计 案例 分 析 

本 节 以 一 个 由 星 网 锐 捷 网 络 公 司 提供 的 校园 网 设计 方案 作为 案例 进行 介绍 ， 从 中 可 以 学 
习 到 如 何 设计 大 型 网 络 的 一 些 理念 和 经 验 。 该 方案 体现 了 主干 网 络 结构 按 层 次 化 、 模 块 化 原 
则 进行 设计 的 理念 ， 由 核心 层 、 分 布 〈 汇 聚 ) 层 、 接 入 层 三 大 部 分 构成 校园 网 络 。 主 干 网 
络 采 用 万 兆 以 太 网 技术 来 建设 ,保证 大 规模 的 数据 交换 快速 、 稳 定 和 高 效 。 

针对 一 个 高 校 ， 校 园 网 按 教学 区 、 办 公 区 、 学 生 和 宿舍 区 、 图 书馆 等 划分 为 若干 个 逻辑 区 
域 ， 每 个 逻辑 区 域 设 立 一 个 逻辑 区 域 的 汇聚 主 节点 ， 下 联 多 个 汇聚 层 设备 和 多 个 接 人 层 设 
备 。 校 园 网 所 需要 的 网 络 设备 主要 为 路 由 器 、 防 火 墙 、 核 心 交 换 机 、 汇 聚 交 换 机 和 接 和 人 交换 
机 ， 各 单 体 建筑 所 需要 的 接 和 人 交换 机 人 台数 根据 该 单 体 建筑 所 需 的 信息 点 位 总 数 确定 。 根 据 实 
际 应 用 情况 ， 对 于 网 络 性 能 要 求 较 高 的 行政 办 公 楼 、 计 算 中 心机 房 、 数 据 中 心 和 上 网 人 数 较 
为 密集 的 区 域 可 采用 两 台 交 换 机 组 成 汇聚 节点 ， 实 行 双 机 热 备 ， 充 分 保证 网 络 的 稳定 性 和 可 
靠 性 。 

校园 网 设备 选 型 要 充分 考虑 满足 校园 网 的 主要 性 能 指标 ， 采 用 国内 外 技术 领先 、 成 熟 的 
网 络 产 品 ， 实 现 高 可 靠 性 、 稳 定性 。 对 校园 网 出 口 策略 、 路 由 协议 、 了 地 址 规划 、VLAN 划 
分 及 校园 网 计 费 系统 、 文 持 802. 1X 认证 、 网 络 管理 系统 、 网 络 流 控 系统 、 负 载 均衡 、 网 络 
安全 系统 等 都 需要 逐步 详细 分 析 和 规划 设计 。 在 综合 布线 系统 设计 时 ， 一 般 要 求 ， 校 园 网 从 
核心 节点 到 各 个 区 二 的 汇聚 主 贡 点、 从 汇聚 主 节点 到 各 个 楼 宇 的 汇聚 节点 根据 实际 布线 距离 
通过 单 模 /多 模 光 纤 实 现 万 兆 互 联 。 图 8-1 给 出 了 一 个 比较 流行 的 主干 网 络 结构 设计 图 。 

该 方案 有 如 下 一 些 设计 特点 : 

(1) 负载 均衡 、 元 余 备 份 的 出 口 设计 

1) 具有 较 强 的 网 络 地 址 转换 (NAT) 、 出 口 策 略 路 由 (PBR) 人 性能。 当前， 校园 网 出 
口 面临 的 首要 问题 就 是 性 能 问题 。 性 能 问题 主要 体现 在 出 口 设备 启用 NAT 和 PBR 功能 的 情 
况 下 。 锐 捷 网 络 为 校园 网 出 口 开 发 的 一 球 网 络 出 口 引擎 NPE 系列 产品 ， 可 以 支持 高 速 大 流 
量 的 线 速 转发 ， 文 持 高 并 发 数 的 连接 会 话 ， 较 好 地 提升 了 出 口 性 能 。 

2) 出 口 线路 自动 负载 均衡 、 出 口 设 备 的 元 余 备 份 及 链 路 的 元 余 备 份 。 一 方面 在 流量 的 
策略 上 ， 能 够 实现 基于 源头 的 流量 区 分 和 基于 访问 目的 的 出 口 控制 。 有 具体 举例 来 说 ， 可 以 将 
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学 生 的 流量 和 老师 的 流量 制定 不 同 的 路 由 路 径 ; 在 对 外 出 口上 ， 根 据 所 访问 的 资源 进行 划 
分 ， 教 育 网 免费 资源 走 CERNET 出 口 ， 免 费 地 址 列表 之 外 的 都 走 网 通 或 者 电信 出 口 。 男 一 
方面 ， 从 可 用 性 角度 ， 实 现 了 任何 一 台 设备 〈 任 何 一 台 防 火 墙 或 者 任何 一 台 网 络 出 口 引 擎 ) 
的 故障 或 者 任何 一 条 链 路 的 瘫痪 ， 都 将 使 相应 的 流量 自动 切换 到 为 外 一 台 设 备 或 者 男 外 一 条 
< 充分 保证 出 口 的 可 用 性 ， 时 刻 保持 网 络 的 互联 互通 。 
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图 8-1 主干 网 络 结构 设计 图 


3) 完善 的 出 口 日 志 功 能 。 针 对 各 种 网 络 攻击 和 安全 威胁 进行 日 志 记 录 ， 和 采用 统一 的 格式 ， 

文 持 本 地 查看 的 同时 ， 还 能 够 通过 统一 的 输出 接口 将 日 志 发 送 到 日 志 服 务 咽 ， 为 用 户 事后 分 

析 、 审 计 提供 重要 信息 ,方案 中 所 能 提供 的 日 志 包 括 : 设备 日 志 、 上 网 记录 日 志 、 攻 击 日 志 。 
(2) 骨干 交换 网 络 的 高 性 能 、 稳 定 可 靠 性 

整 网 采用 万 兆 多 核心 、 万 兆 / 千 兆 骨 干 、 千 兆 / 百 兆 到 桌面 的 设计 理念 。 骨 干 网 络 核心 区 

域 采 用 万 兆 多 核心 环 网 设计 ， 核 心 交换 机 分 别 负责 教学 、 办 公 、 图 书馆 、 数 据 中 心 等 核心 区 

域 的 数据 交换 与 转发 ， 每 台 核 心 通过 干粮 光纤 和 汇聚 交换 机 相连 。 核 心 交 换 机 采用 高 否 吐 

量 , 线 速 转发 的 核心 路 由 器 和 三 层 交 换 机 ， 所 有 关键 右 件 的 元 余 ， 包 括 主 控 板 、 交 换 网 板 、 

电源 等 ， 文 持 板 件 的 热 插 拔 技 术 ， 保证 了 网 络 的 高 效 运转 。 上 骨干 设备 双核 心 双 链 路 ， 或 者 核 

心 成 环 之 后 ， 相 互 之 间 互 为 容错 备份 ， 并 在 核心 交换 机 中 采用 关键 模块 元 余 设 计 〈 双 电源 

宛 余 等 ) 。 核 心 和 汇聚 之 间 采 用 双 链 路 连接 ， 一 旦 数据 传输 的 活动 链 路 失效 以 后 可 以 自动 切 

换 到 为 一 条 链 路 ， 保 障 数 据 的 正常 转发 。 这 样 ， 从 全 网 架构 上 ， 核 心 层 双 链 路 交换 系统 不 存 

在 单 点 故障 ， 是 一 种 高 级 别 交换 完全 元 余 的 容错 方案 ,这 样 即使 其 中 一 条 链 路 断 线 或 一 个 主 
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干 交换 机 发 生 故 障 ， 都 能 在 用 户 觉 察 不 到 的 极 短 的 时 间 内 启用 备份 恢复 数据 传递 ， 从 而 保证 
网 络 系统 可 靠 、 稳 定 地 运行 。 

(3) 有 效 的 安全 和 管理 措施 

1) 统一 的 身份 准 入 控制 及 详细 的 日 志 审 计 。 锐 捷 网 络 设备 能 实现 安全 认证 到 桌面 ， 对 
用 户 下 地 址 、MAC 地 址 、 账 号 、 端 口 等 可 实现 自动 绑 定 、 静 态 绑 定 、 动 态 绑 定 等 多 种 灵活 
的 策略 ， 可 以 确保 用 户 和 人 网 时 身份 唯一 ， 并 且 避 免 了 耳 冲突 。 在 网 络 管理 上 ， 支 持 管 理 分 
级 授权 ， 避 免 了 管理 的 安全 隐患 。 还 支持 详细 的 日 志 审 计 功 能 记录 用 户 上 网 的 详细 信息 
(包括 用 户 名 、IP、MAC 等 ) 及 完整 的 用 户 访问 外 网 的 记录 (包括 源 IP、 目 的 PP、 源 端口 、 
目的 端口 、 访 问 时 间 ), 一旦 出 现 安全 事件 ， 可 以 进行 快速 完整 的 审计 ， 迅 速 定位 到 个 人 。 

2) 设备 本 身 具 有 强大 的 安全 防护 能 力 。 锐 捷 网 络 核心 及 全 线 网 络 产品 具有 丰富 的 安全 
防护 功能 ， 包 括 防 DOS 攻击 、 防 IP 扫描 、 防 源 IP 地 址 欺骗 、 防 ARP 欺骗 、 防 病毒 、 禹 宽 
控制 等 。 锐 捷 网 络 还 在 继承 已 有 的 设备 安全 防护 能 力 的 技术 基础 上 ， 开 发 出 了 集 多 种 强大 安 
全 功能 于 一 体 的 CSS 安全 体系 设计 ， 通 过 硬件 安全 监控 技术 、 硬 件 安全 防护 技术 、 丰 富 的 
设备 安全 管理 保证 系统 的 安全 ， 通 过 硬件 的 隧道 技术 、 认 证 技术 、 加 密 技 术 保 护 了 网 络 设备 
传输 的 数据 的 安全 。 此 外 ， 还 提供 了 万 兆 位 的 安全 防护 模块 同时 保护 系统 和 数据 。 通 过 提供 
万 兆 位 安全 防护 模块 ， 可 以 对 网 络 中 的 数据 进行 2 ~7 层 的 安全 监控 防护 。 

3) GSN (Global Security Network) 全 局 安全 解决 方案 。GSN 全 局 安全 解决 方案 是 锐 捷 
网 络 提出 的 一 种 针对 高 校 校 园 网 安全 问题 较 新 的 解决 理念 。GSN 系统 对 全 网 的 所 有 安全 事 
件 、 网 络 病毒 攻击 行为 、 用 户 行为 和 用 户主 机 安全 信息 进行 深入 分 析 和 全 局 监控 。 通 过 这 种 
实时 全 网 侦 测 ， 在 第 一 时 间 内 将 网 络 异 党 现象 通过 接 和 人 层 隅 离 出 网 络 ， 使 得 网 络 异 党 现象 完 
全 不 影响 核心 网 络 ; 在 发 现 安 全 问题 后 能 自动 对 用 户 进 行 安全 事件 告警 ， 并 迅速 根据 用 户 身 
份 选择 将 用 户 隔 离 到 安全 修复 区 域 或 自动 阻 断 异常 数据 流 。 通 过 部 署 GSN， 还 能 轻松 地 进 
行 主机 信息 获取 ; 实现 主机 完整 性 (HI) 规则 (通过 一 系列 规则 的 定义 ,约定 了 对 用 户主 
机 的 准 入 标准 ); 利用 先进 的 “免疫 性 ”ARP 防 病毒 防 攻 击 技术 ， 彻底 解决 ARP 木马 等 病 
毒 / 攻 击 带 来 的 网 络 中 断 事故 的 影响 。 

(4) 对 WLAN (无 线 局 域 网 ) 的 支持 

锐 捷 针 对 无 线 局 域 网 设计 了 一 种 高 性 能 、 高 稳定 性 的 智能 无 线 组 网 架构 一 一 智能 无 线 交 
换 架 构 ， 通 过 无 线 交 换 机 MX 系列 产品 的 控制 ， 无 线 接 和 点 可 具备 根据 不 同 用 户 、 不 同 应 用 
类 型 、 不 同 VLAN 等 方式 来 决定 数据 流量 是 否 需要 全 部 集中 流 经 无 线 交 换 机 ， 对 于 FTP、 视 
频 点 播 这 类 大 量 占用 网 络 资源 且 安 全 性 要 求 较 低 的 应 用 ， 可 以 直接 通过 本 地 有 线 网 络 进行 转 
发 ， 而 对 于 教务 系统 、 考 试 系统 、 身 份 认证 系统 这 类 安全 性 要 求 高 的 应 用 ， 则 可 以 将 流量 通 
过 加 密 隧 道 送 到 无 线 交 换 机 ， 防 止 加 密 数 据 在 有 线 网 络 传输 过 程 中 被 非法 用 户 窃 取 。 同 时 ， 
这 种 架构 可 以 确保 无 线 网 络 承载 业务 的 高 稳定 性 。 无 线 交 换 机 产品 通过 文 持 集群 和 宛 余 能 
力 ， 可 以 实现 多 台 无 线 交换 机 对 同一 个 无 线 接 入 点 提供 服务 。 由 于 无 线 交 换 机 之 间 采 用 了 虚 
拟 化 技术 ， 可 实时 将 AP 与 用 户 的 在 线 信 息 同 步 ， 如 果 一 台 无 线 交 换 机 出 现 宕 机 ， 与 其 控制 
的 无 线 接 入 点 失去 联系 ， 那 么 男 一 台 或 者 多 台 无 线 交 换 机 将 立即 接管 这 些 无 线 接 入 点 。 在 这 
个 过 程 中 ， 用 户 不 会 掉 线 ， 并 且 仍 然 保持 正常 通信 状态 。 

对 于 无 线 网 络 的 管理 ， 锐 捷 网 络 “ 面 向 无 线 网 络 生命 周期 ”的 管理 系统 强调 无 线 网 络 
生命 周期 的 管理 ， 涵 盖 了 无 线 网 络 的 规划 、 部 署 、 优 化 、 监 测 和 报表 五 大 方面 。 在 对 无 线 网 
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络 的 安全 管理 上 ， 可 以 实现 合法 用 户 的 安全 准 入 、 合 法 设备 的 安全 准 入 、 合 法 网 络 的 安全 准 
入 、 合 法 射频 环境 的 安全 准 入 ， 并 能 有 效 防御 无 线 网 络 入 侵 和 病毒 人 侵 。 

(5) 全 面 文 持 IPv4 向 IPv6 的 分 阶段 分 步骤 平滑 过 滤 

利用 支持 双 栈 技术 的 多 业务 万 兆 核 心路 由 交换 机 (如 RG-S8600 系列 ) 作为 骨干 校园 网 
IPv4/v6 过 渡 设 备 。 实 现 同时 与 IPv6 网 和 1IPv4 网 的 互通 。 此 方案 同时 支持 IPv6/ IPv4 两 种 业 
务 流 ， 不 影响 目前 学 校 主要 的 IPv4 业务 ， 满 足 学 校 在 IPv6 应 用 时 的 过 渡 网 络 环境 。 








8.3 校园 网 建设 实际 案例 


本 市 我们 以 一 个 高 校 的 校园 网 建设 方案 作为 案例 ， 来 讲述 大 型 园区 网 络 的 设计 步骤 和 方法 。 
8.3.1 建设 需求 调查 


某 大 学 新 校区 总 用 地 面积 1000 调 ， 新 校区 建筑 面积 38 万 平方 米 ， 按照 整 体 规划 ,分 三 
期 实施 , 包括 行政 中 心 、 理 学 院 、 环 能 学 院 、 建 筑 学 院 、 土 木 学 院 、 图 书馆 、10 栋 学 生 宿 
舍 楼 等 主要 建筑 。 建 筑 平 面 图 如 图 8-2 所 示 。 








图 8-2 ” 某 高 校 校园 建筑 平面 图 
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基建 项 目 共 分 三 期 : 

一 期 建设 项 目 主要 包括 : 环 能 学 院 、 经 管 学 院 、 理 学 院 、 基 础 教学 实验 室 、 学 术 报 告 
厅 、 人 金工 实习 中 心 、 实 验 中 心 、 运 动 场 、 学 术 报 告 厅 、 学 生食 尝 、6 栋 学 生 窒 舍 、 青 年 教师 
公寓 、 后 勤 办公 等 。 

二 期 建设 项 目 主要 包括 : 图 书馆 、 行 政 办 公 楼 、 机 电学 院 、 电 信 学 院 、 测 绘 学 院 、 土 木 
学 院 、 土 木 实习 中 心 、 教 工学 生食 将 等 。 

三 期 建设 项 目 主要 包括 : 研究生、 留学 生 窒 舍 、 校 医院 、 建 筑 学 院 、 建 筑 展览 馆 、 教 工 
俱乐部 。 

基本 的 需求 包括 以 下 几 点 : 技术 领先 满足 未 来 至 少 5 年 的 需求 ， 高 可 靠 性 ， 高 性 能 , 千 
兆 桌 面 ， 万 兆 上 行 ， 全 网 文 持 IPv6 平滑 过 渡 ， 无 线 宪 盖 ， 快 速 收敛 ， 从 终端 到 边界 全 面 的 
安全 解决 方案 。 


8.3.2 逻辑 网 络 设计 方案 


1. 网 络 拓扑 结构 设计 

一 般 ， 校 园 园区 网 络 规模 比较 大 ， 接 人 节点 数目 比较 多 ， 各 院 系 的 数据 在 网 络 上 的 传输 
也 必须 保证 端 到 端的 安全 ， 各 院 系 、 各 部 门 间 的 业务 隔离 需求 就 显得 比较 迫切 ， 随 着 各 校园 
业务 的 快速 增长 ， 校 园 网 络 的 扩展 性 也 应 该 比较 强 。 该 方案 包括 层次 化 设计 、 高 可 靠 性 设 
计 。 校 园 耻 网 络 平台 还 包括 网 络 安全 性 设计 、 无 线 网 络 设 计 、IPv6 网 络 设计 。 

网 络 解决 方案 总 体 设计 以 高 性 能 、 高 可 靠 性 、 高 安全 性 、 良 好 的 可 扩展 性 、 可 管理 性 和 
统一 的 网 管 系统 及 可 靠 组 播 为 原则 ， 并 考虑 到 技术 的 先进 性 、 成 熟 性 ， 采 用 模块 化 的 设计 方 
法 。 拓 扑 结构 如 图 8-3 所 示 。 
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Router 
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图 8-3 ”校园 网 拓扑 结构 
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本 方案 主要 设计 要 点 如 下 : 

(1) 模块 化 设计 

网 络 设计 主要 包含 高 品质 IP 核心 网 模块 、 智 能 弹性 接 人 网 模块 、 安 全 渗透 网 络 模块 、 
网 络 系统 综合 管理 、 自 适应 无 线 网 、IPv4/v6 地 址 与 路 由 模块 、 组 播 与 QoS 优化 模块 等 主要 
逻辑 功能 部 分 。 根 据 目前 业界 主流 的 根据 功能 区 对 网 络 进行 划分 的 思路 将 整个 网 络 进行 了 功 
能 区 的 划分 : 园区 交换 网 ， 数 据 中 心 ， 网 管 中 心 ,广域网 区 。 

(2) 层次 化 设计 

其 中 园区 交换 网 作为 整个 网 络 的 承载 基础 基于 三 层 架 构 进 行 划分 : 核心 层 、 汇 聚 层 和 接 
入 层 。 核 心 层 主要 提供 无 阻塞 的 高 性 能 交换 平台 ， 本 次 采用 H3C 数据 中 心 级 核心 产品 
S12500 交换 机 ， 提 供 100G 的 高 速 交 换 平 台 ; 汇聚 层 为 连接 本 地 的 逻辑 中 心 ， 对 性 能 也 有 较 
高 的 要 求 ， 推 荐 采用 H3C S7500E 系列 交换 机 ， 提 供 万 兆 汇 聚 能 力 ; 接 入 层 推荐 采用 H3C 
S5120EI 系列 交换 机 ， 提 供 千 兆 到 桌面 、 万 兆 汇 聚 能 力 ， 满 足 高 性 能 接 入 需求 。 

(3) 高 性 能 

核心 交换 机 S12500、 汇 聚 交 换 机 S7500E 在 提供 大 容量 、 高 性 能 L27ZL3 交换 服务 基础 
上 ， 进 一 步 融 合 了 硬件 IPv6 、 硬 件 MPLS、 安 全 、 业 务 分 析 等 智能 特性 ， 可 为 园区 网 、 数 据 
中 心 构建 融合 业务 的 基础 网 络 平台 ,进而 帮助 用 户 实现 IT 资源 整合 的 需求 ， 核 心 交 换 机 和 
汇聚 交换 机 提供 高 密度 万 兆 (10GE) 接口 。 

(4) 可 靠 性 设计 

核心 层 采用 S9500E RPR 环 路 设计 ， 可 以 实现 10ms 的 故障 检测 时 间 以 及 50ms 的 业务 倒 
换 时 间 ， 可 以 做 到 故障 切换 时 完全 不 影响 正在 进行 的 音频 业务 ， 完 全 满足 电信 级 可 靠 性 的 要 
求 。 汇 聚 层 采 用 高 性 能 S7500E 根据 实际 的 建筑 分 布 状况 ， 网 络 设备 主要 部 署 在 图 书馆 、 教 
学 区 〈 包 括 各 个 学 院 的 教学 楼 ) 、 行 政 楼 、 宿 舍 区 、 一 卡通 区 等 区 域 。 部 分 对 可 靠 性 要 求 较 
高 的 区 域 部 署 两 台 汇 聚 交 换 机 ， 构 建 IRF 智能 弹性 架构 。 接 入 层 采用 S5120 系列 堆 钱 交换 
机 ， 简 化 了 管理 ， 利 用 双 链 路 上 行 并 结合 链 路 聚合 LACP 提高 了 接 入 层 的 可 靠 性 。 本 项 目 所 
采用 的 设备 均 可 以 支持 IPv6 ， 可 以 平滑 过 渡 到 IPv6 ， 做 到 最 佳 的 投资 保护 。 

(5) 有 线 无 线 一 体 化 

本 次 采用 S9500E 高 性 能 的 无 线 控制 器 捅 卡 可 以 充分 利用 S9500E 的 背 板 带宽 ， 消 除 线 
路 瓶 贷 ， 减少 机 架空 间 ， 具 有 电源 较 少 、 线 绕 布防 、 与 有 线 设备 统一 管理 等 优点 。 通 过 插 卡 
还 可 以 有 效 减 少 侧 挂 网 络 形成 的 性 能 瓶 贷 ， 提 高 网 络 性 能 。 

2. 层次 化 设计 

在 校园 园区 网 络 整 体 设计 中 ， 采 用 层次 化 、 模 块 化 的 网 络 设 计 结 构 ， 并 严格 定义 各 层 功 
能 模型 ,不同 层 次 关注 不 同 的 特性 配置 。 典 型 的 校园 园区 网 络 结构 可 以 分 成 三 层 : 接 人 层 、 
汇聚 层 、 核 心 层 。 

(1) 接 人 层 

提供 网 络 的 第 一 级 接 人 功能 ， 完 成 简单 的 二 、 三 层 交 换 ， 安 全 、QoS 和 POF 功能 都 位 
于 这 一 层 。 对 于 校园 园区 网 的 接 和 人 层 设 备 ， 建 议 采 用 千 兆 接 入 的 方式 ， 应 该 具有 线 速 交 换 、 
丰富 的 ACL 策略 以 及 高 级 QoS 策略 等 功能 。 可 以 提供 24/48 端口 高 密度 的 线 速 千 兆 接 和 人 端 
口 ， 同 时 和 汇聚 、 核 心 一 起 部 署 全 网 的 安全 管理 方案 。 在 需要 控制 策略 或 者 设备 性 能 要 求 更 
加 严格 的 区 域 ， 如 服务 器 接 和 人 区 推荐 采用 三 层 接 和 交换机， 推荐 采用 H3C 数据 中 心 级 接 和 人 
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交换 机 S5800 系列 。 

(2) 汇聚 层 

汇聚 来 自 配 线 间 的 流量 和 执行 策略 ， 当 路 由 协议 应 用 于 这 一 层 时 ， 具 有 负载 均衡 、 快 速 
收敛 和 易于 扩展 等 特点 ， 这 一 层 还 可 作为 接 入 设备 的 第 一 跳 网 关 ; 对 于 校园 园区 网 的 汇聚 层 
设备 ， 应 该 能 够 承载 校园 园区 的 多 种 融合 业务 ， 能 够 融合 了 MPLS 、IPv6 、 网 络 安全 、 无 线 、 
无 源 光 网 络 等 多 种 业务 ， 提 供 不 间 断 转 发 、 优 雅 重启 ( Graceful Restart) 、 环 网 保护 等 多 种 
高 可 靠 技术 ， 能 够 承载 校园 园区 融合 业务 的 需求 。 

汇聚 层 设备 通过 万 光 双 上 行 到 网 络 核心 ; 下 行 10GE 接口 /GE 接口 连接 接 入 层 交换 机 。 可 
采用 S7500E 万 兆 交换 机 作为 汇聚 交换 机 ， 提 供 10GE 上 联 ，10G/GE 高 密度 下 联 。 对 于 学 生 宿 
舍 区 和 图 书馆 业务 流量 较 大 的 区 域 汇聚 节点 ， 推 荐 采用 H3C 高 端 核 心 交换 机 S9500 系列 产品 ， 
对 于 行政 楼 等 对 高 可 靠 性 要 求 比较 高 的 应 用 场景 建议 采用 双 机 虚拟 化 技术 提高 网 络 可 靠 性 。 

(3) 核心 层 

核心 层 是 网 络 的 骨干 ， 必 须 能 够 提供 高 速 数据 交换 和 路 由 快速 收敛 ， 要 求 具有 较 高 的 可 
靠 性 、 稳 定性 和 易 扩展 性 等 。 对 于 校园 园区 网 核心 层 ， 必 须 提 供 高 性 能 、 高 可 靠 的 网 络 结 
构 ， 推 荐 采用 高 可 靠 的 IRF 技术 。 对 于 校园 园区 网 核心 层 设备 ， 应 该 在 提供 大 容量 、 高 性 能 
12/13 交换 服务 的 基础 上， 能 够 进一步 融合 硬件 IPv6、 网 ET 
络 安全 、 网 络 业务 分 析 等 智能 特性 ， 可 为 校园 园区 构建 融 
合 业务 的 基础 网 络 平台 ， 进 而 帮助 用 户 实现 IT 资源 整合 
的 需求 。 

因为 校园 网 的 规模 较 大 ， 对 核心 层 要 求 非常 高 ， 推 荐 
两 台 S12500 核心 交换 机 构建 IRF 虚拟 弹性 架构 ， 如 图 8-4 
所 示 。 它 的 主要 优点 是 将 两 台 设备 虚拟 为 一 台 更 高 端的 设 
备 ， 成 倍增 加 性 能 和 设备 可 靠 性 ; 简化 了 VRRP、MSTP 图 84 双核 心 元 余 
和 安全 等 业务 部 署 ; 同时 简化 网 络 架构 ， 提 高 业务 性 能 和 简化 网 络 管理 。 


8.3.3 IP 地址 及 路 由 规划 


本 方案 可 以 采用 6.3.3 IP 地 址 的 规划 与 分 配 的 方法 进行 IP 分配。 主要 使 用 私 网 IP 地 址 
分 配 到 每 一 个 设备 和 终端 设备 上 。 对 于 IPv4 路 由 规划 ， 规 划 如 下 : 

1) 整个 骨干 网 络 采 用 OSPF 路 由 协议 ，OSPF 协议 在 整个 骨干 网 中 不 会 引起 路 由 回环 ， 
利于 校园 网 骨干 网 的 健壮 性 。 

2) 在 汇 肾 与 核心 交换 机 之 间 采 用 OSPF 路 由 的 方式 ，OSPF 路 由 的 方式 可 以 减少 网 络 中 
心 人 员 对 于 校园 网 的 维护 量 。 

3) OSPF 在 校园 网 中 只 在 核心 骨干 中 运行 ， 这 样 大 大 减少 了 骨干 节点 之 间 OSFF 协议 的 
收敛 周期 ， 在 实际 的 应 用 过 程 中 可 以 提高 校园 网 的 稳定 性 。 

4) 内 置 DHCP Server 实现 全 网 的 DHCP Server 的 分 散 ， 避 人 免 单 点 故障 。 

5) 核心 交换 机 可 以 支持 防 私 设 DHCP Server、 与 IDS 联动 实现 全 网 的 安全 无 阻塞 设计 。 


8.3.4 综合 布线 系统 设计 
综合 布线 系统 作为 新 校区 校园 网 络 的 骨架 和 脉络 ， 十 分 重要 。 综 合 布 线 系统 需 为 开放 式 
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网 络 拓扑 结构 ， 提 供 满 足 数据 、 图 像 、 音 频 、 视 频 等 多 媒体 应 用 服务 和 传输 能 力 ， 同 时 还 能 
适应 今后 20 年 甚至 更 长 时 间 内 网 络 和 通信 技术 的 高 速 发 展 ， 为 建设 先进 的 万 兆 骨 干 网 络 系 
统 打 好 坚实 的 基础 。 综 合 布线 系统 应 具有 高 度 灵活 性 、 可 靠 性 、 可 扩展 性 ， 方 便 扩容 和 维护 
管理 ， 能 适应 未 来 的 网 络 通信 技术 的 发 展 。 

新 校区 综合 布线 工程 要 在 执行 相关 国家 规范 标准 和 规范 的 前 提 下 ， 采 用 现代 信息 技术 、 
网 络 技术 、 计 算 机 控制 技术 和 系统 集成 技术 ， 通 过 周密 的 设计 、 择 优 集成 、 规 范 施工 、 认 真 
安装 调试 ， 确 保 建成 高 质量 的 综合 布线 系统 ， 在 布线 方面 要 求 具有 高 度 灵 活性 、 可 笔 性 、 纤 
合 性 及 适度 元 余 性 ， 并 且 要 求 易 扩容 、 面 向 未 来 的 发 展 及 方便 维护 和 管理 。 

新 校区 校园 网 布线 系统 要 满足 新 校区 校园 网 络 主干 网 络 结构 设计 的 要 求 。 网 络 布线 系统 
主要 包括 建筑 群 主干 布线 系统 和 各 单 体 建 筑 布线 系统 。 从 新 校区 网 络 核心 机 房 至 各 汇聚 节点 
全 部 采用 单 模 光 纤 接 人 至 各 汇聚 节点 机 房 ， 从 各 汇聚 节点 楼 宇 至 汇聚 区 域 各 单 体 建 筑 ， 根 据 
实际 距离 情况 采用 单 模 或 多 模 光 纤 接 人， 形成 一 个 从 核心 到 各 单 体 的 多 级 星 形 网 络 结构 。 一 
卡通 系统 、 多 媒体 教学 系统 、 安 防 监控 等 专 有 网 络 应 构建 单独 的 网 络 传输 系统 ， 在 综合 布线 
系统 整体 设计 时 根据 系统 的 特殊 需求 进行 充分 考虑 。 

1. 综合 布线 系统 的 组 成 

整个 布线 系统 由 工作 区 子 系统 、 水 平 干线 子 系统 、 管 理子 系统 、 主 干 子 系统 、 设 备 间 子 
系统 及 建筑 群 子 系统 6 个 子 系统 构成 。 综 合 布线 系统 工程 需 按 下 列 7 个 部 分 进行 设计 : 

1) 工作 区 : 一 个 独立 的 需要 设置 终端 设备 的 区 域 宜 划分 为 一 个 工作 区 。 工 作 区 应 由 配 
线 子 系统 的 信息 插座 模块 延伸 到 终端 设备 处 的 连接 线 线 及 适配器 组 成 。 

2) 配 线 子 系统 : 配 线 子 系统 应 由 工作 区 的 信息 插座 模块 、 信 息 插 座 模块 至 电信 间 配 线 
设备 的 配 线 电 缆 和 光缆 、 电 信和 闻 的 配 线 设备 及 设备 缆 线 和 跳 线 等 组 成 。 

3) 干线 子 系统 : 干线 子 系统 应 由 设备 间 至 电信 和 闻 的 干线 电缆 和 光缆 、 安 装 在 设备 间 的 
建筑 物 配 线 设备 及 设备 线 线 和 跳 线 组 成 。 

4) 建筑 群 子 系统 : 建筑 群 子 系统 应 由 连接 多 个 建筑 物 之 间 的 主干 电缆 和 光线、 建筑 群 
配 线 设备 及 设备 缆 线 和 跳 线 组 成 。 

5) 设备 间 : 是 在 每 幢 建 筑 物 的 适当 地 点 进行 网 络 管理 和 信息 交换 的 场地 。 对 于 综合 布 
线 系统 工程 设计 ， 设 备 间 主要 安装 建筑 物 配 线 设备 。 

6) 进 线 间 : 是 建筑 物 外 部 通信 和 信息 管线 的 入口 部 位 ， 并 可 作为 入 口 设施 和 建筑 群 配 
线 设备 的 安装 场地 。 

7) 管理 : 管理 应 对 工作 区 、 电 信 闻 、 设 备 间 、 进 线 间 的 配 线 设备 、 线 线 、 信 息 搬 座 模 
块 等 设施 按 一 定 的 模式 进行 标识 和 记录 。 

在 进行 新 校区 从 综合 布线 弱电 管 网 的 设计 到 各 单 体 楼 宇 的 建筑 规划 设计 时 ， 需 加 强 与 建 
筑 设计 院 设 计 人 员 的 沟通 ， 充 分 考虑 网 络 综合 布线 系统 设施 及 管线 、 线 槽 和 管 井 的 设计 ， 并 
且 预 留 足够 面积 的 设备 间 、 配 线 间 和 进 线 间 等 ， 对 上 述 设计 均 须 满足 国家 出 台 的 综合 布线 系 
统 工程 设计 规范 (GB 50311 一 2007) 等 相关 标准 和 规范 。 

2. 建筑 群 子 系统 光纤 铺设 

建筑 群 子 系统 将 一 栋 建筑 的 线 绕 延伸 至 建筑 群 内 的 其 他 建筑 的 通信 设备 和 设施 ， 实 现 楼 
群 之 间 网 络 通 信 系统 的 信息 连接 。 主 要 由 室外 光纤 ( 其 中 包括 单 模 光纤 和 多 模 光 纤 ) 、 室 外 
大 对 数 通信 电缆 组 成 ; 建筑 群 子 系统 采用 地 下 管道 匣 设 方式 ， 建 筑 群 子 系统 的 路 由 方式 充分 
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利用 全 校 弱 电 管 网 。 弱 电 管 网 的 地 下 通道 要 预 留 足够 的 管 模 ， 支 持 综合 布线 系统 主干 光缆 的 
铺设 。 

3. 主干 链 路 

建筑 群 主干 布线 系统 包括 从 新 校区 网 络 核 心机 房 至 各 汇聚 区 域 节点 所 在 楼 宇 设备 机 房 、 
从 汇聚 区 域 节点 所 在 楼 宇 机 房 至 各 单 体 建筑 机 房 的 主干 光纤 铺设 工程 ， 包 括 主干 光缆 铺设 、 
光纤 熔接 、 跳 线 、 设 备 间 线 缆 接 人 等 相关 布线 产品 和 工程 实施 。 绽 合 布线 光缆 示意 图 如 图 
8-5 所 示 。 

1) 一 级 主干: 从 网 络 核心 机 房 至 全 校 各 汇聚 级 节点 单 体 建 筑 机 房 建设 万 兆 主干 链 路 ， 
采用 4 根 24 芯 万 兆 单 模 光 纤 铺 设 。 

2) 二 级 主干 : 从 各 单 体 建筑 汇聚 节点 设备 间 至 相关 楼 层 配 线 间 ， 采 用 2 根 24 芯 室内 万 
兆 单 模 / 多 模 光 纤 铺 设 。 











1: 4X24 忌 单 模 万 兆 光 纤 
2: 2X24 芯 单 模 万 兆 光 纤 
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图 8-5 ”综合 布线 光线 示意 图 


4. 水 平 链 路 
新 校区 的 水 平 链 路 采用 六 类 标准 的 非 屏 蔽 系统 〈 铜 线 ) 双 绞 线 ， 对 于 财务 或 学 校 重要 
涉 密 系统 ， 根 据 要 求 可 考虑 采用 六 类 标准 的 屏蔽 系统 〈 铜 线 ) 双 绞 线 。 


本 章 小 结 
本 章 以 校园 网 作为 大 型 园区 网 络 建设 的 案例 ， 简 要 回顾 了 大 学 园区 网 络 建设 的 发 展 历 


程 ， 并 对 大 学 园区 网 络 的 构成 、 核 心 技术 进行 了 讨论 ， 最 后 给 出 了 一 个 大 学 园区 网 络 建设 的 
实例 。 
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